Por Laércio Cruvinel
|
Viroses em ambiente Windows NT
Por Laércio Cruvinel |
|
 |
Artigos AnterioresNT 4.0 vs. Windows 95 [22/09/96]   |
| | | | | | |
Os
denominados "vírus" de computador
são, genericamente, programas capazes de se
replicar ou gerar outras formas de si próprios; a
replicação é intencional. Ataques
aos dados fora desse contexto são muitas vezes
também referidos como "viroses": Cavalos
de Tróia, bombas-relógio, vermes, macros. |
 |
Infecções
a partir de uma disquete de arranque
sobre o MBR de um computador com Windows NT, não
lhe permitem defender-se, pois o NT não controla o
sistema durante a fase de "pre-boot",
até à carga do Loader (NTLDR). No caso de
infecção, o sistema pode ser
substancialmente prejudicado durante o processo de
carregamento, mas somente antes de o NT ser activado.
Caso seja carregado, o Windows NT activa o modo protegido
e usa seus próprios drivers para acesso ao
hardware, tornando o vírus inoperante. Se o computador não tiver arranque dual em DOS ou Win95, não é possível o MBR ser infectado a partir de um programa no computador NT, só a partir de uma disquete de arranque. Da mesma forma que o MBR, o sector de "boot" das partições activas está sujeito a infecção por uma disquete de arranque, mas não de programas a executar em uma janela DOS do Windows NT. Alterações ao sector de "boot" podem dificultar o acesso do Windows NT a uma partição, ou mesmo uma falha no arranque. |
 |
Se o sector de "boot" da partição activa já estava infectado quando o Windows NT foi instalado, a cada vez que se optar por arrancar em DOS ou Windows 95 o vírus será activado. O NT usa uma cópia do sector de "boot" original armazenada como um ficheiro comum, não detectável pelas ferramentas anti-vírus como uma infecção no sector de "boot". |
 |
Viroses
que venham de programas executados na janela DOS
podem: 1. atacar directamente outros programas e dados, 2. ou carregar-se para memória e infectar as aplicações executadas a seguir. No primeiro caso o comportamento não difere sob Windows NT ou DOS, apenas o ataque pode ser restrito pela segurança associada a directorias e ficheiros em partições NTFS. Este é um bom motivo para o administrador da rede ter um outro "logon" sem privilégios excessivos, para o trabalho local… Os vírus que carregam-se para memória normalmente vão limitar a sua acção ao período em que a janela DOS estiver activada; podem contudo ter infectado o próprio programa "shell" de DOS - CMD.EXE. |
 |
Vírus escritos para actuar em ambiente Windows não atacam aplicações de 32 bits no Windows NT devido à separação dos espaços de endereçamento em memória; entretanto podem infectar outros programas de 16 bits que usarem o mesmo "address space", ou área de memória comum. |
 |
Viroses escritas como macros, p. ex. para o Word ou Excel, como não utilizam directamente código de baixo nível para actuarem, funcionam (?) apropriadamente em ambiente Windows NT. A segurança associada a ficheiros em partições NTFS não evita que as macros infecciosas possam propagar-se por partilhamento ou correio electrónico. |
| As
restrições do NT para acesso directo ao
hardware fazem-no quase à prova de
"crashes" provocados por
aplicações; têm o seu custo
entretanto majorado pela utilização do
subsistema de entrada/saída do NT. Estas
restrições podem ser ultrapassadas com
algum esforço de programação (cf.
Dr. Dobb’s Journal, Maio 1996), e potencial
desestabilização do sistema.
|
| Podem levantar questões e enviar sugestões para lcruvinel@pobox.com |
|
Última actualização em 17/11/96. Este espaço foi gentilmente cedido por ALSIS, Lda. |
