 Пишем вирус..., Наконец написал. |
| FreeMan |
  4.01.2005 10:23
Сообщение
#1
|
|
-  Группа: Пользователи Сообщений: 480 Пол: Мужской Репутация:  4   |
Почти каждый, кто изучает язык ассемблера, рано или поздно пишет вирус, некоторые люди пишут вирус, когда заканчивают изучать какой-нибудь язык программирования... Прежде чем читать то, что я буду писать ниже и понимать хоть что-нибудь, вы должны:
а) знать основные команды ассемблера б) уметь пользоватся АПИ-функциями в) взять где-нибудь (можно и у меня) TASM32 (можно и другой, но каждый компилятор имеет свои особенности). г) отладчик (если собираетесь собственноручно создать зверька, то без отладки довольно трудно найти ошибки) д) прогу, которая прикреплена (на неё вопит касперский, но это не вирус!!!! ) е) иметь здоровую голову (если вы хотите испортить все компы на Земле, то ваше место в больнице, а не здесь) ё) ПОМНИТЬ, ЧТО ЭТОТ МАТЕРИАЛ ПРЕДСТАВЛЕН ТОЛЬКО В ЦЕЛЯХ ОБУЧЕНИЯ, И ЗА ПОСЛЕДСТВИЯ Я НИКАКОЙ ОТВЕТСТВЕННОСТИ НЕ НЕСУ Вроде всё. Теперь план обучения: 1) формат заголовка файла РЕ 2) разбор основных полей заголовка РЕ 3) методика заражения 4) дельта-смещение. 5) поиск АПИ 6) разбор используемых АПИ 7) пишем код 8) Reserved  Прикрепленные файлы -------------------- бб
|
   |
 
|
  |
Ответов
| FreeMan |
4.01.2005 10:25
Сообщение
#2
|
|
- Группа: Пользователи Сообщений: 480 Пол: Мужской Репутация: 4 |
1. Формат заголовка РЕ
Заголовок - это структура, которая содержит информацию, которая требуется загрузчику для загрузки того или иного файла. Мы рассмотрим формат заголовка РЕ-ЕХЕ. Расширение .ЕХЕ имеют не только РЕ-ЕХЕ файлы, но ещё и старые досовские. В связи с этим в самом начале файла идёт заголовок, который полностью досовскому загрузчику и, в некоторых случаях, dos stub, прога, которая запускается, если стартовать РЕ файл из-под доса. Она в основном кричит что-то типа "This programm must cannot be run in DOS mode". Мы пишем вирус под Винду, поэтому нас дос-совместимый заголовок особо не интересует. Только пара полей Смещение (offset) Размер Описание +0h 1 w (2байта) 'MZ' сигнатура ЕХЕ файла +3Сh 1 dw (4 байта) смещение начала РЕ заголовка Вот мы и увидели, как проверить файл на "подлинность" (сигнатура). Кстати, если вы откроете command.com в каком-нибудь НЕХ-редакторе, то вы увидете, что это на самом деле не СОМ, а ЕХЕ Формат заголовка РЕ висит в прикреплённом файле. Советую распечатать. Прикрепленные файлы 
useful1.doc ( 71.5 килобайт )
Кол-во скачиваний: 2144-------------------- бб
|
|
|
|
Сообщений в этой теме
FreeMan Пишем вирус... 4.01.2005 10:23
FreeMan 2. Разбор основных полей РЕ заголовка.
Итак, вы п... 4.01.2005 10:31 FreeMan 3. Методика заражения
Пишу в виде алгоритма, хотя... 4.01.2005 10:33 FreeMan 4. Дельта смещение.
При линковке программы происхо... 5.01.2005 10:17 FreeMan 3.1 В поисках дельты.
Может вам показалось, что по... 5.01.2005 10:17 FreeMan 5) Поиск АПИ.
Когда Винда загружает файл, она в ад... 5.01.2005 10:20 FreeMan [b]5.1. Поиск адреса кернела
Кернел висит в памяти... 5.01.2005 11:38 FreeMan [b]5.2 Поиск АПИ...
Теперь адрес кернела мы знаем... 5.01.2005 13:07 FreeMan [b]6. Pазбор используемых АПИ
Разбор сводится к ко... 7.01.2005 12:51 FreeMan FindFirstFileA - ищет файл в текущей директории
... 7.01.2005 13:13 FreeMan FindNextFileA - ищет следующий файл
hFindFile -... 7.01.2005 13:30 FreeMan MapViewOfFile - помещает промэппированный файл в п... 7.01.2005 13:45 FreeMan UnmapViewOfFile - полная противоположность MapView... 12.01.2005 17:37 FreeMan [b]7. Пишем код
В исполняемый файл добавляем код ... 12.01.2005 17:38 FreeMan То есть, для успешного заражения надо пофиксить ещ... 12.01.2005 17:41 FreeMan [b]7.1 Пишем код
Для разминки напишем прогу, котор... 12.01.2005 17:42 FreeMan Кстати, вышел номер 29А... http://www.vx.netlux.or... 12.01.2005 18:03 FreeMan Теперь пришло время писать код.
includelib import... 14.01.2005 16:51
FreeMan ls_found:
; сюда попадём после того, как найдена ... 14.01.2005 16:52 Тоха ЭТО КРУТО!
Спасибо большое. 26.02.2009 13:09 |
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0
|
Текстовая версия | 8.08.2025 6:57 |