Книги
чёрным по белому
Главное меню
Главная О нас Добавить материал Поиск по сайту Карта книг Карта сайта
Книги
Археология Архитектура Бизнес Биология Ветеринария Военная промышленность География Геология Гороскоп Дизайн Журналы Инженерия Информационные ресурсы Искусство История Компьютерная литература Криптология Кулинария Культура Лингвистика Математика Медицина Менеджмент Металлургия Минералогия Музыка Научная литература Нумизматика Образование Охота Педагогика Политика Промышленные производства Психология Путеводители Религия Рыбалка Садоводство Саморазвитие Семиотика Социология Спорт Столярное дело Строительство Техника Туризм Фантастика Физика Футурология Химия Художественная литература Экология Экономика Электроника Энергетика Этика Юриспруденция
Новые книги
Цуканов Б.И. "Время в психике человека" (Медицина)

Суворов С. "Танк Т-64. Первенец танков 2-го поколения " (Военная промышленность)

Нестеров В.А. "Основы проэктирования ракет класса воздух- воздух и авиационных катапульных установок для них" (Военная промышленность)

Фогль Б. "101 вопрос, который задала бы ваша кошка своему ветеринару если бы умела говорить" (Ветеринария)

Яблоков Н.П. "Криминалистика" (Юриспруденция)
Реклама

Азбука хакера 3. Компьютерная вирусология - Собейкис В.Г.

Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология — М.: Майор, 2006. — 512 c.
ISBN 5-98551-013-1
Скачать (прямая ссылка): hakeriazbukahakera2006.djvu
Предыдущая << 1 .. 95 96 97 98 99 100 < 101 > 102 103 104 105 106 107 .. 123 >> Следующая

Последние разработки Windows (типа ХР) лишний раз убеждают в моей
правоте. Больше того, версия Windows ХР рассчитана даже не на идиотов, а
просто на клинических шизофреников, и это наталкивает нас на мысль, что
очередных своих клиентов Билл будет отыскивать в среде одноклеточных.
Так что Windows стала новой и поистине уникальной средой обитания для
вирусов. Так сто миллионов лет тому назад многие мохнатые млекопитающие
зверушки выползли на свет Божий вскорости после того, как комета уложила
на ней всех этих страшных динозавров. Тогда только зверушки поняли, как
прекрасен этот мир, где не надо было никого бояться, как много в нем
сочной и зеленой травки и до чего же весело шагать по его просторам. Так
что если сравнивать операционную систему со средой для размножения наших
славных микробов-вирусов, то Windows можно назвать питательным бульоном,
в котором наши микробчики с особыми быстротой и рвением плодятся и
размножаются.
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
Многие аспекты этой забавной многоокошечной операционной системы
радикально отличаются от DOS. Хотя осталось и множество старых знакомых.
С одной стороны, Windows облегчила нам написание вирусов. Например, ЕХЕ-
файл содержит подробную документацию о том, как он структурирован. С
другой стороны, запись кода под Windows на чистом Ассемблере - это что-то
из области черной магии. Данная тема обсуждается только в документации
MASM, но так запутанно и нудно, что программисты не решаются касаться ее.
Однако писать ассемблерные программы под Windows не трудно, и я попробую
убедить вас в этом.
ЕХЕ-структура Windows
Прежде чем мы начнем обсуждать Windows-инфекторы, нам нужно разобраться в
ЕХЕ-структуре Windows. Заголовок для Windows сложнее, чем ЕХЕ-заголовок
под DOS. Тем не менее, добавленные черты позволяют вирусу лучше понять
структуру и операции Windows ЕХЕ-файла. Например, вирус запросто может
увидеть, как программа сегментирована. Так что усложнение заголовка на
самом деле обернулось для вирусмейкеров преимуществом.
Windows ЕХЕ имеет два заголовка, потому что она должна быть совместимой с
DOS. Фактически, это две программы в одном файле: DOS-программа и
Windows-программа. Е каждом файле имеется DOS-заголовок и DOS-программа,
идущая вместе с ним. Обычно такая программа говорит нам: "Это Windows-
программа", но она может кое-что выполнять.
Имеется простой трюк для выяснения типа ЕХЕ-программы (для DOS она или
для Windows). В офсете 18Н DOS-заголовка находится указатель на начало
таблицы перемещения для DOS-программы. Если этот офсет является 40Н
заголовка или даже больше, то вы имеете Windows-программу, и слово в
офсете ЗСН заголовка является указателем на Новый заголовок для Windows.
Обычно этот "новый заголовок" размещается в файле после DOS-программы.
(Вот почему иногда некоторые DOS-вирусы могут разрушать Windows EXE.
Деликатный и добрый DOS-вирус проверяет наличие нового заголовка и
соответствующим образом подстраивает свои действия. Он прикрепляется к
концу DOS-программы и тем самым переписывает "новый заголовок".)
420
ГЛАВА 9. Вирусы под Windows
Новый заголовок, представленный на табл. 19, содержит несколько разных
структур данных. Они говорят операционной системе о том, как следует
загружать файл в среде защищенного режима, который поддерживает
динамическое связывание. Защищенный режим заставляет ОС контролировать
сегментацию более тщательно. Операционная система не может смешивать
сегменты данных и кода в одну двоичную кучу и затем выполнять ее.
Сегменты определяются селекторами, которые выделяются программе
операционной системой. Как таковые, сегменты разделяются в файле таким
образом, чтобы их понимала ОС. Сходным образом динамическое связывание
требует имен, сохраненных в EXE - имен DLL {Dynamic Link Libraries -
динамически подключаемых библиотек) и имен импортированных и
экспортированных функций и переменных.
Нас сейчас интересует 64-байтовый Блок информации, формирующий ядро
заголовка - Таблицу сегментов, в которой описано, где расположены все
сегменты в файле и каковы их функции (код или данные). Кроме того, блок
информации формирует Таблицу ресурсов, которая поясняет, где в файле
находятся ресурсы (например курсор, папки и диалоговые окна).
1Ил. 19, Новый заголовок для Windows ЕХЕ-файла
Офсет Размер Имя Описание
0 2 байта Сигнатура (подпись) Идентифицирует Новый заголовок,
всегда содержит байты "NE"
2 1 Версия редактора связей Идентифицирует редактор связей,
который связывает ЕХЕ-файл
3 1 Ревизия редактора связей Номер младшей версии редактора
связей
4 2 Офсет таблицы входов (Entry Table) Офсет таблицы входов
относительно начала нового заголовка
6 2 Длина таблицы входов Длина таблицы входов (в байтах)
8 4 В резерве
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
Офсет Размер Имя Описание
ОС 2 Флаги Бит Описание
0 1 =Односегментные данные (DLL)
1 1 =Многосегментные данные (программа приложения)
11 1=1-й сегмент имеет код для загрузки приложения
Предыдущая << 1 .. 95 96 97 98 99 100 < 101 > 102 103 104 105 106 107 .. 123 >> Следующая