Adam Blaszczyk Wirusy (6)

do ÂściÂągnięcia ^ ebook ^ download ^ pobieranie ^ pdf

[ Pobierz całość w formacie PDF ]
.Program dla DOS-a pe�ni�by tu rol� programu STUB.Po programie STUB znajduje si� w�a�ciwy program przeznaczony dla trybuchronionego, posiadaj�cy, podobnie jak programy dla DOS, odpowiedniosformatowany nag�ówek.Ró�ne systemy maj� ró�n� struktur� tego nag�ówka, takwi�c infekcja takich programów jest o wiele trudniejsza ni� w przypadku plikówprzeznaczonych dla DOS.Komplikacje przy pisaniu wirusów infekuj�cych takiepliki wynikaj� tak�e ze znacznych ró�nic, jakie wyst�puj� pomi�dzy trybemchronionym, dla którego s� one przeznaczone, a trybem rzeczywistym, u�ywanymprzez DOS.Potencjalny twórca takiego wirusa musi uwzgl�dnia� przy jegoprogramowaniu podstawowe cechy systemów wielozadaniowych: podzia� i ochron�zasobów, fakt stronicowania pami�ci, po��czonego z wymiataniem nie u�ywanychobszarów pami�ci na dysk (ang.swapping} oraz podzia� programu na oddzielnebloki danych, kodu i stosu, posiadaj�cych odpowiednie prawa dost�pu, zawarte wdeskryptorach.Mo�na powiedzie�, i� bez dobrej znajomo�ci trybu chronionegonapisanie wirusa dla nowych EXE jest niemo�liwe.Dowód na to stanowi stosunkowoma�a liczba wirusów pisanych pod systemy Windows 3.l, Windows 95 czy OS/2 (inn�wa�n� przyczyn� tego stanu rzeczy jest utrudniony dost�p do dok�adnychinformacji o tych systemach).Infekuj�c pliki nowe EXE (za pomoc� opisanej w poprzednim rozdziale metody)musimy na pocz�tku sprawdzi�, czy rzeczywi�cie jest to plik tego typu.Porównujemy dwa pierwsze bajty pliku z sekwencj� 'MZ' lub 'ZM' (na tym etapienie jest wa�ne, dla jakiego systemu przeznaczony jest plik).Nast�pnie, je�eliporównanie wypad�o pomy�lnie, nale�y sprawdzi�, czy na pozycji 18h-19h wnag�ówku starego EXE znajduje si� warto�� 40h lub wi�ksza.Je�li tak, to nale�yspróbowa� odczyta� ewentualny nag�ówek nowego EXE, w którym znajduje si�odpowiedni znacznik (dwa znaki ASCII) informuj�cy o systemie, dla któregoprogram jest przeznaczony.Typowe znaczniki zawarto w poni�szej tabeli.Znaczniki rozszerzonego nag�ówka nowych plików EXEZnacznikDocelowy systemNEWindows lub OS/2 1.x, z podzia�em na segmentyLEWindows virtual device driver (VxD) z liniowym adresowaniem (Linear Executable)LXWariant LE, u�ywany przez OS/2 2.xW3Plik WIN386.EXE dla Windows; kolekcja plików LEPEWindows NT lub Win32s (Portable Executable)DLHP 100LX/200LX (Pliki .EXM)MPStare pliki PharLap (pliki .EXP)P2PharLap 286 (pliki .EXP)P3PharLap 386 (pliki .EXP)4.1.2.2.1.Pliki EXE dla Windows (NE)W przypadku programów dla Windows (znacznik NE) infekcja plików polega� mo�e naodpowiedniej modyfikacji pól nag�ówka NE oraz dodatkowo tablicy segmentówzawartych w programie, któr� trzeba rozszerzy� o segment identyfikuj�cy miejscew pliku, w którym znajduje si� kod wirusa.Ze wzgl�du na to, i� rozszerzenietablicy segmentów wi��e si� z konieczno�ci� przesuni�cia ca�ego nast�puj�cegopo niej kodu programu (najcz�ciej bardzo d�ugiego), jako jedno z rozwi�za�proponuje si� zmniejszenie rozmiaru programu STUB i przesuni�cie tylkopocz�tkowej cz�ci pliku (w tym wypadku cofni�cie cz�ci nag�ówka) w takwygospodarowane miejsce.Format nag�ówka pliku nowy EXE (NE) dla Windows pokazano poni�ej.Format nag�ówka plików nowy EXE (NE) dla WindowsAdresZawarto��00-01znacznik pliku, bajty 'NE'02-03numer wersji programu linkuj�cego (najpierw bardziej znacz�ca, potem mniejznacz�ca cz��)04-05offset wzgl�dem pocz�tku nag�ówka do tablicy wej��; format tablicy wej�� jestnast�puj�cy 00 liczba wej�� (00, je�eli koniec listy)01 numer segmentu (00, je�eli koniec listy)02 pierwszy rekord05 drugi rekord.Ka�dy rekord ma format00 flagi:bit 0: EXPORTEDbit 1: SINGLE DATAbity 2-7: nie u�ywane01-02 ofset w segmencie06-07d�ugo�� (w bajtach) tablicy wej��08-0Bkod korekcyjny (CRC) pliku0Cflagi programu; znaczenie poszczególnych bitów0-1 DGROUP0 = nie ma1 = SINGLE SHARED2 = MULTIPLE (UNSHARED)3 = (NULL)2 bit globalnej inicjalizacji3 program tylko dla trybu chronionego4 program zawiera instrukcje 80865 program zawiera instrukcje 802866 program zawiera instrukcje 803867 program zawiera instrukcje 80x870Dflagi aplikacji; znaczenie poszczególnych bitów:0-2 typ aplikacji001 pe�noekranowa (bez Windows AP! dla trybu chronionego)010 kompatybilna z Windows API dla trybu chronionego011 u�ywa Windows API dla trybu chronionego 3 aplikacja przeznaczona dla OS/25 0=wykonywalna, 1=b��dy w obrazie pliku6 niezgodny typ programu (stos nie jest zachowywany)7 plik DLL lub sterownik(SS:SP: z�e warto�ci, CS:IP wskazuje na procedur� incjalizacji typu FAR,wywo�ywan� z AX=uchwyt do modu�u, zwracaj�ca AX=0 b��d lub AX0 poprawnainicjalizacja)0E-0Findeks do segmentu danych typu AUTODATA 10-11 inicjalny rozmiar stertylokalnej12-13inicjalny rozmiar stosu, dodany do segmentu danych lub 0000h, gdy DS=SS14-17wej�cie do programu (CS:IP), CS oznacza indeks w tablicy segmentów18-1Bdaleki wska�nik na stos programu (SS:SP), SS oznacza indeks w tablicysegmentów; je�eli SS jest typu autodata i SP=OOOOh, wska�nik stosu ustawianyjest na ko�cu segmentu danych typu AUTODATA, pod stert� lokaln�1C-1Dilo�� segmentów 1 E-1 F ilo�� odwo�a� do modu�ów20-21d�ugo�� (w bajtach) nierezydentnej tablicy nazw22-23offset wzgl�dem pocz�tku nag�ówka do tablicy segmentów, sk�adaj�cej si� zrekordów o formacie (pierwszy rekord ma numer 1):00-01 ofset w pliku (trzeba przesun�� o warto�� z pola 32-3nag�ówka, aby uzyska� adres w bajtach)02-03 d�ugo�� obrazu pliku (0000h=64K)04-05 atrybuty segmentu0 segment danych1 nie u�ywane2 REALMODE3 ITERATED4 MOVABLE5 SHARABLE6 PRELOADED7 EXECUTE-CODE (kod) lub READ-ONLY (dane)8 relokacje (bezpo�rednio po kodzie w segmencie)9 istniej� informacje dla debuggera10,11 bity DPL dla 8028612 DISCARDABLE13-15 DISCARD PRIORITY06-07 ilo�� bajtów do zaatakowania dla segmentu (0000h = 64K)24-25offset wzgl�dem pocz�tku nag�ówka do tablicy zasobów26-27offset wzgl�dem pocz�tku nag�ówka do tablicy nazw rezydentnych28-29offset wzgl�dem pocz�tku nag�ówka do tablicy odwo�a� do modu�ów2A-2Boffset wzgl�dem pocz�tku nag�ówka do tablicy nazw importowanych (tablica�a�cuchów typu string, zako�czona �a�cuchem o d�ugo�ci 0)2C-2Foffset wzgl�dem pocz�tku nag�ówka do tablicy nazw nierezydentnych30-31ilo�� ruchomych punktów wej�ciowych zawartych w tablicy wej��32-33wyrównanie strony (0=9 strona o rozmiarze 2 shl 9=512 bajtów)34-35ilo�� wej�� do tablic zasobów36docelowy system operacyjny00h nieznany01h OS/202h Windows03h Europejska wersja MS-DOS 4.x04h Windows 38605h BOSS (Borland Operating System Services)81h PharLap 286IDOS-Extender, OS/282h PharLap 286IDOS-Extender, Windows37dodatkowe flagi programu0 u�ywa d�ugich nazw plików1 tryb chroniony 2.X2 proporcjonalna czcionka 2 [ Pobierz całość w formacie PDF ]
zanotowane.pl
doc.pisz.pl
pdf.pisz.pl
luska.pev.pl

Darmowy hosting zapewnia PRV.PL