МЕНЮ


Фестивали и конкурсы
Семинары
Издания
О МОДНТ
Приглашения
Поздравляем

НАУЧНЫЕ РАБОТЫ


  • Инновационный менеджмент
  • Инвестиции
  • ИГП
  • Земельное право
  • Журналистика
  • Жилищное право
  • Радиоэлектроника
  • Психология
  • Программирование и комп-ры
  • Предпринимательство
  • Право
  • Политология
  • Полиграфия
  • Педагогика
  • Оккультизм и уфология
  • Начертательная геометрия
  • Бухучет управленчучет
  • Биология
  • Бизнес-план
  • Безопасность жизнедеятельности
  • Банковское дело
  • АХД экпред финансы предприятий
  • Аудит
  • Ветеринария
  • Валютные отношения
  • Бухгалтерский учет и аудит
  • Ботаника и сельское хозяйство
  • Биржевое дело
  • Банковское дело
  • Астрономия
  • Архитектура
  • Арбитражный процесс
  • Безопасность жизнедеятельности
  • Административное право
  • Авиация и космонавтика
  • Кулинария
  • Наука и техника
  • Криминология
  • Криминалистика
  • Косметология
  • Коммуникации и связь
  • Кибернетика
  • Исторические личности
  • Информатика
  • Инвестиции
  • по Зоология
  • Журналистика
  • Карта сайта
  • Семантический анализ структуры EXE файла и дисассемблер (с примерами и исходниками), вирусология

    конкретной причины.

    ОСНОВНЫЕ ПОЛОЖЕНИЯ НА ПАМЯТЬ

    - Объем COM-файла ограничен 64К.

    - COM-файл меньше, чем соответствующий EXE-файл.

    - Программа, написанная для выполнения в COM-формате не содержит

    стека и сегмента данных и не требует инициализации регистра DS.

    - Программа, написанная для выполнения в COM-формате

    использует директиву ORG 100H после директивы SEGMENT для

    выполнения с адреса после префикса программного сегмента.

    - Программа EXE2BIN преобразует EXE-файл в COM-файл,

    обусловленный указанием типа COM во втором операнде.

    - Операционная система DOS определяет стек для COM-программы или

    в конце программы, если позволяет размер, или в конце памяти.

    3. Принцип действия и распространения вируса.

    Писать вирусы можно по разным причинам. Кому-то нравится изучать

    системные вызовы, искать «дыры» в антивирусах и совершенствовать свои

    знания в ассемблере, то есть исключительно программирование. У кого-то

    коммерческие или целенаправленные методы. Что же такое вирус ? Вирус – это

    творчество, изобретение новых приемов программирования, знание системы как

    пяти пальцев.

    Есть такая группа людей, кто стремится навредить всем подряд,

    вставляя в свои вирусы так называемую деструкцию(изменение различных

    настроек системы компьютера). Такие написанные вирусы-деструкторы, способны

    стирать FAT-таблицы жестких дисков или даже выжигать монитор.

    Рассмотрим вирус, заражающий ЕХЕ-файлы. Приведена классификация

    таких вирусов, подробно рассмотрены алгоритмы их работы, отличия между

    ними, достоинства и недостатки.

    Вирусы заражающие EXE-файла можно поделить на несколько групп:

    *Я рассматриваю - вирусы написанные в основном на ассемблере, имеющие не

    большой размер.

    Вирусы, замещающие программный код (Overwrite)

    Такие вирусы уже давно устарели и в наши дни они редко

    распространены.

    Инфицированные программы не исполняются, так как вирус записывается

    поверх программного кода, не сохраняя его. При запуске вирус ищет очередную

    жертву (или жертвы), открывает найденный файл для редактирования и

    записывает свое «тело» в начало программы, не сохраняя оригинальный код.

    Инфицированные этими вирусами программы лечению не подлежат.

    Вирусы-спутники (Companion)

    Эти вирусы получили свое название из-за алгоритма размножения: К

    каждому инфицированному файлу создается файл-спутник. Рассмотрим более

    подробно два типа вирусов этой группы:

    Вирусы первого типа размножается следующим образом. Для каждого

    инфицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным кодом,

    имеющий такое же имя, что и ЕХЕ-файл, но с расширением

    СОМ. Вирус активируется, если при запуске программы в командной

    строке указано только имя исполняемого файла. Если СОМ-файл с таким именем

    не найден, ведется поиск одноименного ЕХЕ-файла. Если

    не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный)

    файл. Другими словами, когда пользователь хочет за-

    пустить программу и набирает в командной строке только ее имя, первым

    управление получает вирус, код которого находится в СОМ-файле. Он создает

    СОМ-файл еще к одному или нескольким ЕХЕ-файлам (распространяется), а затем

    исполняет ЕХЕ-файл с указанным в командной строке именем. Пользователь же

    думает, что работает только запущенная ЕХЕ-программа. Вирус-спутник

    обезвредить довольно просто - достаточно удалить СОМ-файл.

    Вирусы второго типа действуют более тонко. Имя инфицируемого

    ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

    другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,

    файл может получить расширение DAT (файл данных) или OVL (программный

    оверлей). Затем на место ЕХЕ-файла копируется вирусный

    код. При запуске такой инфицированной программы управление полу-

    чает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один

    или несколько ЕХЕ-файлов таким же образом, вирус возвращает оригинальному

    файлу исполняемое расширение (но не ЁХЕ, а СОМ, поскольку ЕХЕ-файл с таким

    именем занят вирусом), после чего исполняет его. Когда работа

    инфицированной программы закончена, ее

    запускаемому файлу возвращается расширение неисполняемого. Лечение файлов,

    зараженных вирусом этого типа, может быть затруднено,

    если вирус-спутник шифрует часть или все тело инфицируемого файла,

    а перед исполнением его расшифровывает.

    Вирусы, внедряющиеся в программу (Parasitic)

    Вирусы этого вида самые незаметные: их код записывается в инфицируемую

    программу, что существенно затрудняет лечение зараженных файлов. Рассмотрим

    методы внедрения ЕХЕ-вирусов в ЕХЕ-файл.

    Способы заражения ЕХЕ-файлов

    Самый распространенный способ заражения ЕХЕ-файлов такой: в конец

    файла дописывается тело вируса, а заголовок корректируется (с сохранением

    оригинального) так, чтобы при запуске инфицированного файла

    управление получал вирус. Похоже на заражение СОМ-файлов, но вместо задания

    в коде перехода в начало вируса корректируется собственно

    адрес точки запуска программы. После окончания работы вирус берет из

    сохраненного заголовка оригинальный адрес запуска программы, прибавляет к

    его сегментной компоненте значение регистра DS или ES (полученное при

    старте вируса) и передает управление на полученный адрес.

    Второй способ таков - внедрение вируса в начало файла со сдвигом кода

    программы. Механизм заражения такой: тело инфицируемой программы

    считывается в память, на ее место записывается вирусный код, а после

    него - код инфицируемой программы. Таким образом, код программы

    как бы "сдвигается" в файле на длину кода вируса. Отсюда и название

    способа - "способ сдвига". При запуске инфицированного файла вирус

    заражает еще один или несколько файлов. После этого он считывает

    в память код программы, записывает его в специально созданный на

    диске временный файл с расширением исполняемого файла (СОМ или

    ЕХЕ), и затем исполняет этот файл. Когда программа закончила работу,

    временный файл удаляется. Если при создании вируса не применялось

    дополнительных приемов защиты, то вылечить инфицированный

    файл очень просто - достаточно удалить код вируса в начале файла,

    и программа снова будет работоспособной. Недостаток этого метода

    в том, что приходится считывать в память весь код инфицируемой про-

    граммы (а ведь бывают экземпляры размером больше 1Мбайт).

    Следующий способ заражения файлов - метод переноса который является

    самым совершенным из всех ранее перечисленных. Вирус

    размножается следующим образом: при запуске инфицированной программы тело

    вируса из нее считывается в память. Затем ведется поиск

    неинфицированной программы. В память считывается ее начало,

    по длине равное телу вируса. На это место записывается тело вируса.

    Начало программы из памяти дописывается в конец файла. Отсюда название

    метода - "метод переноса". После того, как вирус инфицировал

    один или несколько файлов, он приступает к исполнению программы,

    из которой запустился. Для этого он считывает начало инфицированной

    программы, сохраненное в конце файла, и записывает его в начало файла,

    восстанавливая работоспособность программы. Затем вирус удаляет код начала

    программы из конца файла, восстанавливая оригинальную длину файла, и

    исполняет программу. После завершения программы вирус вновь записывает свой

    код в начало файла, а оригинальное начало программы - в конец. Этим методом

    могут быть инфицированы даже антивирусы, которые проверяют свой код на

    целостность, так как запускаемая вирусом программа имеет в точности такой

    же код, как и до инфицирования.

    Рассмотрим алгоритм распространения Вируса.

    Overwrite-вирус:

    1. Открыть файл, из которого вирус получил управление.

    2. Считать в буфер код вируса.

    3. Закрыть файл.

    4. Искать по маске подходящий для заражения файл.

    5. Если файлов больше не найдено, перейти к пункту 11.

    6. Открыть найденный файл.

    7. Проверить, не заражен ли найденный файл этим вирусом.

    8. Если файл заражен, перейти к пункту 10.

    9. Записать в начало файла код вируса.

    10. Закрыть файл (по желанию можно заразить от одного до всех фай-

    лов в каталоге или на диске).

    11. Выдать на экран какое-либо сообщение об ошибке, например

    "Abnormal program termination" или "Not enough memory", - как бы, пусть

    пользователь не слишком удивляется тому, что программа не запустилась.

    12. Завершить программу.

    В большинстве случаев для написания вируса широко используются

    функции DOS-а. Их достаточно много всех не будем рассматривать, приведу

    пример только одного из них.

    DOS, функция 21h

    Считать произвольную запись файла

    Вход:

    AH-21h

    DS:DX - адрес открытого FCB (Таблица Б-2)

    Выход:

    AL=OOh, если чтение было успешным и DTA заполнена данными

    AL°01h, если достигнут конец файла (EOF) и чтения не было

    AL=02h, если произошел выход за сегмент (чтения нет)

    AL°03h, если встречен EOF и усеченная запись дополнена нулями

    Описание.

    Данная функция читает из файла с текущей позиции как с указанной в полях

    FCB "Запись с текущей позиции" и "Номер записи при непосредственном доступе

    к файлу".

    Другие функции:

    DOS, функция OOh

    Завершить программу

    DOS, функция 01h

    Считать со стандартного устройства ввода

    DOS, функция 02h

    Записать в стандартное устройство вывода

    DOS, функция 03h

    Считать символа со стандартного вспомогательного устройства

    DOS, функция 04h

    Записать символ в стандартное вспомогательное устройство

    DOS, функция 05h

    Вывести на принтер

    DOS, функция 06h

    Консольный ввод-вывод

    DOS, функция 09h

    Запись строки на стандартный вывод

    DOS, функция OAh

    Ввод строки в буфер

    DOS, функция ODh

    Сброс диска

    DOS, функция OEh

    Установить текущий диск DOS

    DOS, функция 13h

    Удалить файл через FCB

    DOS, функция 15h

    Последовательная запись в файл через FCB

    DOS, функция 17h

    Переименовать файл через FCB

    DOS, функция 22h

    Писать произвольную запись файла

    DOS, функция 26h

    Создать новый PSP

    DOS, функция 27h

    Читать произвольный блок файла

    DOS, функция 28h

    Писать произвольный блок файла

    DOS, функция 31h

    Завершиться и остаться резидентным

    DOS, функция 3Ah

    Удалить оглавление

    DOS, функция 41h

    Удалить файл

    DOS, функция 43h

    Установить/опросить атрибуты файла

    DOS, функция 44h

    Управление устройством ввода/вывода

    DOS, функция 4Bh

    Выполнить или загрузить программу

    DOS, функция 4Ch

    Завершить программу

    DOS, функция 57h

    Установить/опросить дату/время файла

    DOS, функция 5Ah

    Создать уникальный временный файл

    DOS, функция 68h

    Завершить файл.

    Список наиболее часто используемых функций DOS.(ассемблер пример)

    [AK] Вот список функций, которые важно помнить при разработке вирусов:

    Установить адрес DTA.

    ~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 1Ah

    ds:dx = адрес

    выход:

    нет

    Получить адрес DTA.

    ~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 2Fh

    выход:

    es:bx = текущий адрес

    Create - Создать файл.

    ~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 3Ch

    cx = атрибуты файла (таб 1)

    ds:dx = путь и имя файла в формате asciz

    выход:

    if CF=0 then

    ax = дескриптор файла

    else

    ax = код ошибки (3,4,5) (таб 2)

    Open - Открыть существующий файл

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 3Dh

    al = режим доступа (таб 2)

    cx = атрибуты

    ds:dx = имя

    выход:

    if CF=0 then

    ax = дескриптор файла

    else

    ax = код ошибки (1,2,3,4,5,0C)

    Close - Закрыть файл

    ~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 3Eh

    bx = дескриптор

    ds:dx = имя

    выход:

    if CF=0 then

    ax =

    else

    ax = код ошибки (6)

    Read - Чтение из файла

    ~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 3Fh

    bx = дескриптор

    cx = число байт

    ds:dx = буфер для чтения

    выход:

    if CF=0 then

    ax = число прочитанных байт

    Это значение может быть меньше CX.

    Например потому, что превысили длину файла.

    else

    ax = код ошибки (5,6)

    Write - Записать в файл

    ~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 40h

    bx = дескриптор

    cx = число байт

    ds:dx = данные для записи

    выход:

    if CF=0 then

    ax = число записанных байт

    else

    ax = код ошибки (5,6)

    Unlink - Удалить файл

    ~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 41h

    cx = атрибуты

    ds:dx = имя

    выход:

    if CF=0 then

    ax =

    else

    ax = код ошибки (2,3,5)

    LSeek - Установить указатель в файле

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 42h

    al = точка отсчета указателя:

    0 - от начала файла

    1 - от текущего положения

    2 - от конца

    bx = дескриптор

    cx:dx = смещение (cx=старшие 16 бит, dx=младшие)

    выход:

    if CF=0 then

    dx:ax = новое положение указателя относительно начала

    else

    ax = код ошибки (1,6)

    Получить атрибуты файла

    ~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ax = 4300h

    ds:dx = имя

    выход:

    if CF=0 then

    cx = атрибуты

    else

    ax = код ошибки (1,2,3,5)

    Chmod - Установить атрибуты файла

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ax = 4301h

    cx = новые атрибуты

    ds:dx = имя

    выход:

    if CF=0 then

    ax =

    else

    ax = код ошибки (1,2,3,5)

    Выделить блок памяти

    ~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 48h

    bx = размер блока в параграфах

    выход:

    if CF=0 then

    ax = сегмент блока

    else

    ax = код ошибки (7,8)

    bx = размер наибольшего доступного блока

    Освободить память

    ~~~~~~~~~~~~~~~~~

    вход:

    ah = 49h

    es = сегмент блока

    выход:

    if CF=0 then

    ax =

    else

    ax = код ошибки (7,9)

    Изменить размер блока памяти

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 4Ah

    bx = новый размер

    es = сегмент

    выход:

    if CF=0 then

    ax =

    else

    ax = код ошибки (7,8,9)

    bx = размер наибольшего доступного блока

    Exec - загрузить или выполнить программу.

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    вход:

    ah = 4Bh

    al = тип загрузки:

    0 - загрузить и выполнить

    1 - загрузить и не выполнять

    3 - загрузить оверлей

    4 - загрузить и выполнить в фоновом режиме (dos 4.0)

    es:bx = блок параметров (таб 3)

    ds:dx = имя программы

    выход:

    if CF=0 then

    bx,dx разрушены

    else

    ax = код ошибки (1,2,5,8,0A,0B)

    Пример элементарного BOOT-вируса:

    .286

    .model tiny

    .code

    org 00h

    start: jmp install

    ;jmp fkс

    table: ; А вот тут будет таблица диска

    org 4ch ; много места ей, но...

    fkс: nop ;

    xor di,di ; обнулим их

    mov ds,di ; DS=0

    cli ;

    mov ss,di ; SS=0

    mov si,7c00h ; SI - адрес в памяти, там мы

    ; начинаемся.

    mov bx,si ; запомним это... еще пригодится

    mov sp,si

    sti

    dec word ptr ds:[0413h] ; стока памяти дос

    mov ax,ds:[0413h] ; в АХ размер дос-памяти в килобайтах

    mov cl,06 ; чтобы получить сегмент надо число

    shl ax,cl ; килобайт умножить на 40h

    ; немного арифметики - сегмент считают

    ; от начала памяти в параграфах, пара-

    ; граф=10h байт, 40h параграфов=400h

    ; байт=1кБт. дальше все ясно.

    mov es,ax ; ES=адрес нового сегмента

    push ax ; в стек его - будем делать переход

    mov ax,offset inst_int ; на это вот смещение

    Страницы: 1, 2, 3, 4, 5, 6, 7


    Приглашения

    09.12.2013 - 16.12.2013

    Международный конкурс хореографического искусства в рамках Международного фестиваля искусств «РОЖДЕСТВЕНСКАЯ АНДОРРА»

    09.12.2013 - 16.12.2013

    Международный конкурс хорового искусства в АНДОРРЕ «РОЖДЕСТВЕНСКАЯ АНДОРРА»




    Copyright © 2012 г.
    При использовании материалов - ссылка на сайт обязательна.