- •Билет №1
- •1. Архитектура ibm pc
- •Билет №21
- •Проектирование программ для защищенного режима процессора.
- •Компьютерные вирусы
- •Билет №22
- •Прерывания защищённого режима
- •Исключения в защищённом режиме
- •Обработка аппаратных прерываний
- •Вирусы, замещающие программный код, вирусы-спутники, вирусы, внедряющиеся в программу Вирусы, замещающие программный код (Overwrite)
- •Вирусы-спутники (Companion)
- •Инфицирование методом создания com-файла спутника
- •Инфицирование методом переименования exe-файла
- •Вирусы, внедряющиеся в программу (Parasitic)
- •Стандартное заражение exe-файлов
- •Билет №23
- •Организация многозадачного режима
- •Сегмент состояния задачи (лекц «структура состояния задачи»)
- •Вызовы функций api
- •Вызов Windows api
- •Адреса и номера функций
- •Соглашения о вызовах
- •Обзор структуры pe-файла
- •Выбор базового адреса образа pe-файла в памяти
- •Импорт функций
- •Экспорт функций
- •Заражение файлов формата pe-executable
- •Билет №24
- •Системные регистры процессора ldtr, gdtr, tr, idtr, cr0-cr3. Теневые регистры
- •Макровирусы для Windows
Выбор базового адреса образа pe-файла в памяти
Давайте обсудим, каким образом загрузчик определяет базовый адрес, по которому нужно загрузить PE-файл. Для exe-файлов это тривиальная задача: в заголовках файла присутствует поле ImageBase, содержащее значение базового адреса. Так как для выполнения exe-файла создается отдельный процесс со своим виртуальным адресным пространством, то обычно не возникает никаких проблем с тем чтобы отобразить файл в это адресное пространство по заданному адресу. Как правило, все exe-файлы содержат в поле ImageBase значение 0x400000.
А вот выбор базового адреса для dll-файла куда сложнее. Дело в том, что динамическая библиотека, как правило, загружается в адресное пространство уже существующего процесса, и хотя dll-файл тоже содержит некоторое значение в поле ImageBase, очень часто может так получиться, что этот адрес уже занят чем-то другим (например, по нему уже загружена другая динамическая библиотека). Что же делать загрузчику, если он не может загрузить dll-файл по заданному адресу? Ему ничего не остается, как загрузить этот файл по какому-то другому адресу. Но тут возникает новая проблема - в файле могут содержаться инструкции с абсолютными адресами (это, в основном, инструкции абсолютных переходов, инструкции вызова подпрограмм, а также инструкции для работы с глобальными данными). При загрузке динамической библиотеки по другому адресу все адреса, содержащиеся в этих инструкциях, становятся неправильными, и загрузчик вынужден их поправить. Для того, чтобы загрузчик мог это сделать, в файле содержится таблица релокаций, в которой прописаны RVA всех абсолютных адресов.
Импорт функций
В PE-файле существует специальная секция ".idata", описывающая функции, который этот файл импортирует из динамических библиотек. Описание импортируемых функций в секции ".idata" приводит к тому, что библиотеки загружаются загрузчиком операционной системы еще до запуска программы. В принципе, необязательно описывать каждую импортируемую функцию в этой секции, так как динамические библиотеки можно загружать с помощью функции LoadLibrary из Win32 API прямо во время выполнения программы.
В процессе загрузки программы осуществляется связывание (binding) функций, импортируемых из динамических библиотек. Связывание подразумевает загрузку соответствующих динамических библиотек и составление таблицы адресов импорта (Import Address Table - IAT). Адрес каждой импортируемой функции заносится в эту таблицу и в дальнейшем используется для вызова данной функции.
Секция ".idata" в сборках .NET в некотором смысле носит вспомогательный характер, так как импортируемые сборкой динамические библиотеки описываются в метаданных. Задача этой секции - обеспечить запуск среды выполнения .NET, поэтому в ней описывается только одна импортируемая из mscoree.dll функция ( _CorExeMain для exe-файлов и _CorDllMain - для dll-файлов). При запуске сборки .NET управление сразу же передается этой функции, которая запускает Common Language Runtime, осуществляющий JIT-компиляцию программы и контролирующий в дальнейшем ее выполнение.