- •Часть 1 . Com - вирусы ....................... 6
- •Глава 1 . Разработка нерезидентной
- •Глава 2 . Разработка резидентной
- •Часть 2 . Exe - вирусы ....................... 82
- •Глава 1 . Разработка нерезидентного
- •1.3 Как вирус может заразить
- •1.4 Работа вируса в
- •1.5 Начало работы ....................... 88
- •Глава 2 . Разработка резидентного
- •Часть 3 . Загрузочные вирусы ................. 143
- •Глава 1 . Разработка загрузочной
- •Часть 1 . Com - вирусы
- •Глава 1 . Разработка нерезидентной
- •1.5 Начало работы
- •1.6 Вирус получает управление
- •1.8 Запоминаем содержимое dta
- •1.9 Ищем подходящий файл
- •1.10 Читаем исходные три байта
- •1.11 Выполняем необходимые расчеты
- •1.12 Проверяем файл на зараженность
- •1.13 Заражаем com - программу
- •1.14 Восстанавливаем dta
- •1.16 Область данных вирусной программы
- •1.17 Завершаем запускающую программу
- •1.18 Текст нерезидентного com - вируса
- •1.19 Комментарии
- •1.20 Испытание вируса
- •Глава 2 . Разработка резидентной
- •2.3 Алгоритм работы резидентного
- •2.4 Заголовок вируса
- •2.5 Вирус начинает работу
- •2.6 Сохраняем регистры процессора
- •2.8 Запрашиваем блок памяти
- •2.9 Делаем вирус " незаметным "
- •2.10 Получаем вектора прерываний
- •2.11 Копируем вирусный код в память
- •2.12 Устанавливаем вектора прерываний
- •2.13 Пишем резидентную часть
- •2.14 Заражаем com - файл
- •2.15 Восстанавливаем регистры
- •2.16 Пишем обработчики прерываний
- •2.17 Обработчик Int 13h
- •2.18 Обработчик Int 21h
- •2.19 Обработчик Int 24h
- •2.20 Обработчик Int 2Fh
- •2.21 Обработчик Int 28h
- •2.22 Область данных вируса
- •2.23 Процедура идентификации command.Com
- •2.24 Завершаем программу
- •2.25 Текст резидентного com - вируса
- •2.26 Комментарии
- •2.27 Испытание вируса
- •Часть 2 . Exe - вирусы
- •Глава 1 . Разработка нерезидентного
- •1.1 Формат exe - файла на диске
- •1.5 Начало работы
- •1.6 Вирус получает управление
- •1.7 Ищем подходящий файл
- •1.8 Читаем заголовок файла
- •1.10 Заражаем exe - программу
- •1.11 Восстанавливаем dta
- •1.12 Восстанавливаем точку входа
- •1.13 Область данных вируса
- •1.14 Используемые процедуры
- •1.15 Работа завершена
- •Глава 2 . Разработка резидентного
- •2.1 Алгоритм работы резидентного
- •2.3 Как реализовать защиту от
- •2.4 Реализуем предложенный алгоритм
- •2.5 Пишем промежуточный обработчик
- •2.6 Защита от обнаружения вируса в файле
- •2.7 Несколько слов о вредных
- •Часть 3 . Загрузочные вирусы
- •Глава 1 . Разработка загрузочной
- •1.2 Понятие о загрузочных вирусах
- •1.3 Алгоритм работы загрузочного
- •1.5 Начало работы
- •1.6 Вирус получает управление
- •1.12 Используемые процедуры
- •1.13 Область данных вируса
- •1.16 Комментарии
- •1.17 Испытание вируса
1.5 Начало работы
Для разработки вируса лучше всего использовать COM
формат.Это сделает его отладку более простой и на-
глядной .Кроме того, структура COM - программы на-
много проще и понятнее, чем структура программы в
формате EXE.Поэтому напишем стандартное начало COM
программы :
prg segment
assume cs:prg,ds:prg,es:prg,ss:prg
org 100h
Директива "assume cs:prg,ds:prg,es:prg,ss:prg" на-
значает все сегментные регистры одному сегменту с
именем PRG,а директива "org 100h" нужна для резер-
вирования места для PSP .
1.6 Вирус получает управление
После этого вступления начинается собственно ис-
полняемая часть программы ( метка START ) :
start: jmp vir ;Передача управ-
;ления вирусному
;коду ...
org 110h
Команда "jmp vir" передает управление вирусному
коду, а директива "org 110h" указывает компилято-
ру размещать все коды после метки "vir",начиная с
адреса 110h .Число 110h принято для удобства рас-
чета смещений при разработке вируса .Чуть позже мы
разберемся, зачем понадобилась команда "jmp vir",
а пока продолжим :
vir: push ds ;Сохраним DS ...
;Корректируем
mov ax,ds ;регистр DS ...
db 05h ;Код команды
add_to_ds: dw 0 ; " ADD AX,00h "
mov ds,ax ;AX -> DS ...
Поскольку в зараженной программе область данных
вируса будет сдвинута хотя бы на длину этой про-
граммы,необходимо выполнить коррекцию регистра DS.
Коррекция осуществляется прибавлением к его содер-
жимому длины программы в параграфах,округленной в
большую сторону .Например, длина программы состав-
ляет 401 байт . Тогда она содержит 25 полных па-
раграфов и еще 1 байт.Округленное число параграфов
будет равно 26 .Эта величина и прибавляется к ре-
гистру DS . При заражении вирус рассчитывает кор-
ректирующее число и записывает его в область "add_
to_ds" .Теперь всякий раз при запуске зараженной
программы оно будет использоваться вирусом для ис-
правления DS . В запускающей программе DS коррек-
тировать не нужно, и поэтому для нее "add_to_ds"
равно нулю .
1.7 Восстанавливаем зараженную программу
Как было указано в 1.3 ( п.1 ), вирус должен пос-
ле запуска зараженной программы восстановить в па-
мяти компьютера ее исходные три байтa ( не на дис-
ке, а только в памяти ! ) .Пусть вирус хранит ис-
ходные три байта в области "old_bytes".
Итак :
fresh_bytes:
mov al,old_bytes
mov cs:[100h],al
mov al,old_bytes+1
mov cs:[101h],al
mov al,old_bytes+2
mov cs:[102h],al
Вы конечно знаете,что в COM - программе при ее за-
грузке по адресу CS : 100h всегда находится первая
исполняемая команда .В остальном работа фрагмента
ясна .