Книги
чёрным по белому
Главное меню
Главная О нас Добавить материал Поиск по сайту Карта книг Карта сайта
Книги
Археология Архитектура Бизнес Биология Ветеринария Военная промышленность География Геология Гороскоп Дизайн Журналы Инженерия Информационные ресурсы Искусство История Компьютерная литература Криптология Кулинария Культура Лингвистика Математика Медицина Менеджмент Металлургия Минералогия Музыка Научная литература Нумизматика Образование Охота Педагогика Политика Промышленные производства Психология Путеводители Религия Рыбалка Садоводство Саморазвитие Семиотика Социология Спорт Столярное дело Строительство Техника Туризм Фантастика Физика Футурология Химия Художественная литература Экология Экономика Электроника Энергетика Этика Юриспруденция
Новые книги
Цуканов Б.И. "Время в психике человека" (Медицина)

Суворов С. "Танк Т-64. Первенец танков 2-го поколения " (Военная промышленность)

Нестеров В.А. "Основы проэктирования ракет класса воздух- воздух и авиационных катапульных установок для них" (Военная промышленность)

Фогль Б. "101 вопрос, который задала бы ваша кошка своему ветеринару если бы умела говорить" (Ветеринария)

Яблоков Н.П. "Криминалистика" (Юриспруденция)
Реклама

Азбука хакера 3. Компьютерная вирусология - Собейкис В.Г.

Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология — М.: Майор, 2006. — 512 c.
ISBN 5-98551-013-1
Скачать (прямая ссылка): hakeriazbukahakera2006.djvu
Предыдущая << 1 .. 55 56 57 58 59 60 < 61 > 62 63 64 65 66 67 .. 123 >> Следующая

ОФсет Размел Описание
2Bh DWORD (SHARE.EXE) указатель на предыдущую SFT, "зашаренную" тем же
файлом
2Fh WORD (SHARE.EXE) номер сетевой машины, которая открыла файл
31 h WORD PSP сегмент владельца файла (см. AH=26h)
33h WORD Офсет в сегменте кода SHARE.EXE "затаренной" записи (OOOOh =
ни одной не имеется)
Табл. 11. Формат таблиц системного файла и таблиц FCB для DOS 4+
Офсет Размер Описание
00h DWORD Указатель к таблице следующего файла.
04h WORD Количество файлов в этой таблице.
06h 3Bh байтов на файл
00h WORD Количество индексов файлов, которые ссылаются на этот файл
02h WORD Режим открытия файла (см. AH=3Dh); 13-й бит установлен, если
этот файл открыт с помощью FCB
04h BYTE Атрибут файла
05h WORD Info об устройстве (see_ AX=4400h); 15-й бит установлен, если
удаленный файл; установленный 14-й бит означает, что дата/время файла не
установлены при закрытии
07h DWORD Указатель на заголовок драйвера устройства, если символ
устройства иной, чем указатель на DOS DPB (Drive Parameter Block - блок
параметров диска [см. AH=32h] или на данные REDIR
OBh WORD Начальный кластер файла
ODh WORD Время файла в запакованном формате (см. AX=5700h)
OFh WORD Дата файла в запакованном формате (см. AX=5700h)
llh DWORD Размер файла
ISh DWORD Текущий офсет в файле
236
ГЛАВА 3. Сложные СОМ-инфекторы
Офсет Размер Описание
19h WORD Относительный кластер в файле последнего доступного кластера
lBh DWORD Номер сектора, содержащего директорную строку
1 Fh BYTE Номер директорной строки в секторе (офсет байта/32)
20h П байтов Имя файла в формате FCB (без пути и периода)
2Bh DWORD (SHARE.EXE) указатель на предыдущую SFT, "затаренную" тем же
файлом
2Fh WORD (SHARE.EXE) номер сетевой машины, которая открыла файл
3 lh WORD PSP сегмент владельца файла (см. AH=26h)
33h WORD Офсет в сегменте кода SHARE.EXE "затаренной" записи (OOOOh =
ни одной не имеется)
35h WORD Абсолютный номер последнего доступного кластера (redirector)
37h DWORD Указатель на драйвер IFS для файла; OOOOOOOh, если принадлежит
DOS
Чтобы исследовать и "взломать" эту сложную структуру в DOS, вирус сначала
должен отыскать локацию приемлемой SFT. Это можно выполнить с помощью
нескольких недокументированных DOS-вызовов.
Передав индекс файла в Ьх, следующий код возвращает адрес соответствующей
таблицы системного файла:
mcvax,1220h ;гюлучаем запись рабочей файловой таблицы
;ees:di
irrt2lh только для DOS 3+
movb),es:di ;получаем номер SFT для индекса файла ;-1 = индекс не открыт
237
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
movax,1216h ;получаем адрес SFT int2fh ; номер записи в Ьх
;es:di указывают на эФмсь SFT
Теперь, когда адрес строки SFT известен, мы можем спокойно менять
различные байты записи, чтобы они соответствовали нашим нуждам. Многим
вирусам приходится сначала очищать атрибуты файла, чтобы открыть файл в
режиме чтения/записи, так как иначе невозможно писать в файле с атрибутом
"только для чтения".
Эта проблема легко преодолевается открытием файла в режиме "только для
чтения" (al - 0) и заменой байта (или слова) со ссылкой, что режим
открытия файла становится равным 2. Это поможет вам обойти некоторые
авировские чекеры поведения. Кроме того, мы можем установить указатель
файла, изменив двойное слово в офсете 15h (в DOS 3+). Вот быстрый и
легкий способ переустановки указателя файла:
moves:di+15h,0
moves:di+17h,0
Не забывайте, что это - лишь поверхностное рассмотрение темы. При ее
дальнейшем исследовании вы обнаружите огромные возможности. SFT -
воистину могучий инструмент!
Глава 6. Инфицирование загрузочного сектора
Сравнивая вирусы загрузочного сектора с классификацией, данной в 49 главе
Книги Бытия, я отношу их в колену Асира: "Слишком тучен хлеб его, и он
будет доставлять царские яства". Данный тип вирусов загружает "яства"
царю - он имеет дело с Master Boot Record. Просто потрясающе, как
функциональны тексты Библии для описания процессов бытия!
Из "Черного гриму ара.* визарда Dark Avenger
Процесс загрузки определяется как инициализационный процесс. Как
известно, имеется два способа (перезагрузки компьютера: холодный и
теплый.
"Холодная" загрузка активируется, когда вы подключаете компьютер к
питанию или когда нажимаете на кнопку Reset. "Теплая" загрузка обцчно
активируется, когда вы нажимаете на Ctrl+Alt+Del.
Оба способа почти аналогичны, кроме того, что "холодная" загрузка сначала
физически обнуляет линию CPU и заставляет определенные аппаратные
средства выполнять тестовые операции, после чего компьютер снова
загружается. "Теплая" же загрузка быстрее "холодной", потому что она не
требует тестирования и не задействует аппаратные средства.
Вирусы загрузочного сектора могут быть самыми простыми и самыми сложными
из всех компьютерных вирусов. С одной стороны, загрузочный сектор всегда
располагается в особом месте на диске. Следовательно, механизмы поиска и
копирования могут быть очень быстрыми и простыми, если вирус целиком
содержится в загрузочном секторе.
Предыдущая << 1 .. 55 56 57 58 59 60 < 61 > 62 63 64 65 66 67 .. 123 >> Следующая