Olvasd el a könyvet, hogy hozzon létre egy vírus, és vírusölő Igor Gulev online olvasás - 1. oldal

Hozzon létre egy vírus, és vírusölő

Mondanom sem kell, hogy a számítógépek váltak igazi segítők személy és ezek nélkül nem tud semmilyen kereskedelmi cég vagy kormányzati ügynökség. Azonban ebben a tekintetben, különösen az akut probléma az informatikai biztonság.

Vírusok széles körben használják a számítástechnika keverjük az egész világon. Sok számítógép-felhasználók aggódnak pletykák, hogy segítségével a számítógépes vírus támadók betörni a hálózatba, rob banks, lopni szellemi tulajdon ...

Egyre gyakrabban a médiában vannak tudósít a különböző kalóz bohóckodás számítógép huligánok, a megjelenése egyre kifinomultabb önreprodukáló programok. Legutóbb fertőzött szöveges fájlokat vírus ítélték abszurd - ma ez nem meglepő. Elég csak felidézni a megjelenése az „első fecske”, ami miatt nagy a zaj - vírus WinWord.Concept, feltűnő dokumentumok formátumának szövegszerkesztő Microsoft Word for Windows 6.0 és 7.0.

Csak azt szeretném megjegyezni, hogy a túl sok félni vírusok nem szükséges, különösen, ha a számítógépet vásárolt a közelmúltban, és rengeteg információt a merevlemez még nem halmozódott fel. Virus számítógép nem robban. Most már ismert, csak egy vírus (Win95.CIH), amely képes elrontani a „hardver” a számítógép. Mások csak pusztítani információkat, semmi több.

A szakirodalom igen erősen javasolta, hogy megszabaduljon a vírus csak akkor lehetséges a segítségével kifinomult (és drága) anti-vírus programokat, és állítólag csak védelmük alatt, akkor biztonságban érzik magukat. Ez nem egészen igaz - ismeri a sajátosságok a szerkezet és módszerek bevezetésének vírusok időben, hogy segítsen nekik kimutatására és lokalizálására is, ha nincs kéznél lesz a legjobb anti-vírus program.

A számítógépes vírusok „fészek” a legváratlanabb helyeken, mint például az MBR boot record (master boot record), a futtatható fájlok, például a COM és az EXE, DLL fájl a megosztott könyvtárban, és még a dokumentumokban a szövegszerkesztő Microsoft Word for Windows. Ez a rész a vírus szerkezete az érintő COM-fájlokat.

A szerkezet és a folyamat tölti be a COM-programot

Mi a COM-program betöltődik a memóriába, és futni?

A szerkezet a COM-program nagyon egyszerű - amely csak a kód és az adatok a program, anélkül, hogy akár egy címet. COM-felbontású korlátozza a mérete egy program szegmens (64 KB).

És a két fogalom, hogy lesz gyakran előfordul:

Program Segment Prefix (PSP) - memória nagysága 256 (0100h) bájt megelőző programot, amikor betöltődik. PSP tartalmazza a parancssori információk és a kapcsolódó programok változókat.

COM-berakodás programokat a memóriába, és elkezdi az alábbiak szerint történik:

2. Létrehoz és kitölti a blokk memória környezeti változókat.

3. Készítsen egy blokk memória a PSP és a program (szegmens: 0000 - PSP; szegmens: 0100 - program). A PSP mező megfelelő rögzített értékek.

6. Az érték a regiszter AX összhangban van beállítva a parancssori paramétereket.

7. A regiszterek DS, ES és SS vannak beállítva a PSP szegmens és programok (PSP: 0000h).

8. Az SP regiszter be van állítva a végén a szegmens, amely után a köteg van írva 0000h.

COM-program mindig áll egy szegmens indul 0100h ellensúlyozni.

A letöltés után a fertőzött fájlt, a vírus átveszi az irányítást. Amikor kész, a vírus visszaállítja az eredeti JMP és átadja a vezérlést a program, ábrán látható. 1.2.

Mi teszi a szóban forgó vírus? A rajt után, amit keresett az aktuális könyvtár COM-programot. Erre a célra 4Eh funkció (megtalálja az első fájl):

; Keresünk az első fájl neve minta

mov dx, offset fname - offset magam

A vírus ezután ellenőrzi (az első byte a fájl), ha nem találta a COM-programot megközelítés:

; Írjuk be az első három byte (az átmenet a vírus szervezetben)

mov dx, offset jmpvir eltolt magam

Miután a vírus már befejezte a munkát, akkor visszaállítja az eredeti állapotába, az első három bájt a program (a memóriában), és átadja a vezérlést a program elején. Továbbá, ha egy fertőzött fájlt, a vírus lesz kontroll az első, majd - forrás programot. Ennek köszönhetően a rendszer jelentési vírus könnyen létezik, miután egyszer megjelent a vadonba.

Ennek eredménye egy LEO.COM tartalmazó fájl kész-COM-vírus. A teszt a vírus, akkor létrehozhat egy külön könyvtárba és másoljuk bele a fájlt, valamint számos más COM-fájlokat. Megkezdése után LEO.COM vírus be az összes többi COM-fájlokat. Ne félj, hogy fertőzött számítógéppel egyszerre - a vírus terjed csak az aktuális könyvtárban. Az alábbiakban a forráskód a vírus:

286; Set processzor típusát

CheckByte bere 0F0h

Rámutat arra, hogy a nyilvántartások tartalmazzák a CS és DS

vállalnak cs: kód, ds: kód

; Kód szegmens kezdetét. Végén a program kódot szegmensben kell

; Close - "kód végződik"

; Az előfeszültség a kódot szegmensben.

; Ez a vonal van szükség

; A COM-programot (összes COM-programot

; Szimulálja a COM-fertőzött fájlt.

, A vírus test kezdődik tag la

db 0E9h; JMP parancskódot

dw ofszet la-eltolás valós

Módszerek bevezetése a COM-vírus

Tekinthető a vírus hozzáfűzi, hogy a végén a fájlt, és a fájl elején lépett az átmenet is. Vannak más módszerek bevezetésének vírusok.

Vegyünk két lehetőség bevezetése a COM-vírus a fájl elején. Az első változat. A vírus felülírja a program elején, hogy a végén a fájlt, hogy legyen hely a maga számára. Ezt követően a vírus szervezetben van írva a fájl elején, és egy kis rész biztosítja a közlekedést elfojtott program részletben a helyén - a végén. Amikor helyreállítása az eredeti megjelenését a program szervezetet a vírustól törlődik, így a vírus kódját, visszaállítva a programot kell lennie egy biztonságos helyen, külön a fő szerve a vírus. Ez a módszer a végrehajtás ábrán látható. 1.3.

A második kiviteli alak abban különbözik az elsőtől, hogy a vírus, felszabadítva magának helyet, mozgatja az egész test a program, és nem visz át egy részét a fájlt. Ez a módszer a végrehajtás ábrán látható. 1.5.

Vannak fajták vírusok, amelyek nem részei a testét az iratokhoz csatolt. Például a vírus be a fájl közepén. Ebben az esetben az algoritmus a vírus keveréke algoritmusok egyike a két újonnan leírt vírus és a vírus fejezetben leírt „Egy egyszerű COM-vírus”.

COM-fájlok (kis írt programok többnyire assembly nyelven) lassan, de biztosan elavult. Ezek helyébe az ijesztő méreteket EXE- «szörnyek». Voltak vírusok képesek megfertőzni EXE-fájlt.

A szerkezet és a folyamat letöltése EXE-programot

Ellentétben COM programok, EXE programot állhat több szegmensből (kód, az adatok stack). Ők tovább tarthat 64Kbayt.

Induláskor EXE-program rendszert betöltő (függvényhívás DOS 4BH) végrehajtja a következő lépéseket:

2. Létrehoz és kitölti a blokk memória környezeti változókat.

3. Készítsen egy blokk memória a program és a PSP (szegmens: 0000H - PSP; szegmens + 0010h: 0000h - program). A PSP mező megfelelő rögzített értékek.

5. A munkaterület rakodó szól formázott fejrész EXE-fájlt.

6. hosszúság kiszámítása a betöltő modul, amelyet a képlet: Size = ((PageCnt * 512) - (HdrSize * 16)) - PartPag.

7. Határozza meg az elmozdulás a terhelés modul fájlt, azonos HdrSize * 16.

10. Minden beviteli táblázat beállításokat:

a) Olvasd el a Word és I_OFF I_SEG;

b) számított RELO_SEG = START_SEG + I_SEG;

11. memóriát kiosztani a program összhangban MAXMEM és MinMem.

12 inicializálja a nyilvántartásban, a program fut:

b) AX = eredmény ellenőrzéséhez vezető személyazonosságát megadva a parancssorban;

c) SS = START_SEG + ReloSS, SP = ExeSP;

d) CS = START_SEG + ReloCS, IP = ExeIP.

EXE-vírusok oszthatók csoportban, mint a jellemzője, hogy ossza adott algoritmus.

Vírusok cseréje kód (felülírás)

Az ilyen vírusok váltak ritkaság. A fő hátránya - túl durva munka. A fertőzött programok nem hajtják végre, mivel a vírus felülírja a programkód mentés nélkül. Indításakor, a vírus megkeresi a következő áldozat (vagy áldozat), megnyitja a fájlt talált szerkeszteni és írja a szervezet a program kezdete mentés nélkül az eredeti kódot. Ezekkel a vírusokkal fertőzött nincsenek alávetve a kezelési program.

Ezek a vírusok nevüket, mert a szorzás algoritmus: Minden fertőzött fájlt, a fájl-műhold. Nézzük meg részletesebben kétféle vírus ennek a csoportnak:

Vírusok szaporítják első típus a következő. Minden megfertozödjön EXE-fájl ugyanabban a könyvtárban hozzon létre egy fájlt a vírus kódját, amelynek neve megegyezik és EXE-fájlt, de a kiterjesztés COM. A vírus akkor aktiválódik, amikor a program indításakor a parancssorban, csak a neve a futtatható fájlt. A tény az, hogy ha nem adja meg a fájl kiterjesztését, a DOS első néz ki egy fájlt az aktuális könyvtárban a megadott névvel és kiterjesztéssel COM. Ha a COM-fájlt, hogy a név nem található, a keresés folyik EXE-fájlt az azonos nevet. Ha nem talált, és EXE-fájlt, DOS megpróbálja megtalálni BAT (batch) fájlt. Ennek hiányában az aktuális könyvtárban a futtatható fájlt a megadott névvel keresés folyik összes katalógusban megtalálható a PATH változót. Más szóval, ha a felhasználó akarja indítani a programot, és egyre csak a nevét (alapvetően minden do) a parancssorban, az első vírus megkapja a vezérlést, a kód, amelynek a COM-fájlokat. Ez létrehoz egy COM-vissza a fájl egy vagy több EXE-fájl (spread), majd futtatható EXE-fájlt a megadott néven a parancssorban. A felhasználó is azt hiszi, hogy csak futó EXE-programot. Vírus műholdas semlegesíteni egészen egyszerűen - ahhoz, hogy távolítsa el a COM-fájlt.

Vírusok A második típusú finomabban. Név megfertozödjön EXE-fájl ugyanaz marad, és a kiterjesztést helyébe egy másik, eltérő végrehajtható (COM, EXE és BAT). Például a fájl kaphat kiterjesztése DAT (adat file) vagy OVL (overlay szoftver). Aztán a helyére EXE-fájl másolása a vírus kódját. Amikor egy olyan programot futtat, vírussal fertőzött kódot megkapja a vezérlést, található EXE-fájlt. Megfertőző egy vagy több EXE-fájlokat ugyanúgy egy vírus visszatér az eredeti futtatható fájl kiterjesztését (de nem EXE, COM, és mint EXE-fájlt ugyanazzal a névvel által elfoglalt vírus), majd végrehajtja azt. Amikor egy fertőzött programot a munka befejeződött, visszatér a futtatható fájl nem futtatható kiterjesztése. Kezelése fájlokat fertőzött meg a vírus típusától, nehéz lehet, ha a műholdas vírus titkosítja egy részét vagy egészét a test válik a fertőzött fájlt, de még mielőtt a végrehajtás visszanyeri.

Ez a munka, amely állítólag a jogállása „közkinccsé”. Ha nem, és elhelyezését a tartalom sérti mások jogait, kérjük ossza meg velünk.

Olvasta a könyvet? Keress meg!

Írjon a rendszergazda csoport - Sergei Makarov - levelet