"Игорь Коваль. Как написать вирус" - читать интересную книгу автора

прямого ближнего перехода . Вирус записывает эту
команду вместо первых трех байт заражаемого файла,
а исходные три байта сохраняет в своей области
данных .Теперь при запуске зараженной программы
код вируса всегда будет выполняться первым .


1.3 Работа вируса в зараженной программе

Получив управление при старте зараженной програ-
ммы, вирус выполняет следующие действия :

1. Восстанавливает в памяти компьютера исходные
три байтa этой программы .

2. Ищет на диске подходящий COM - файл .

3. Записывает свое тело в конец этого файла .

4. Заменяет первые три байта заражаемой программы
командой перехода на свой код, сохранив предвари-
тельно исходные три байта в своей области данных.

5. Выполняет вредные действия, предусмотренные ав-
тором .

6. Передает управление зараженной программе . По-
скольку в COM - файле точка входа всегда равна
CS : 100h, можно не выполнять сложных расчетов, а
просто выполнить переход на этот адрес .

Если же подходящих для заражения COM - файлов най-
дено не было, то вирус просто осуществляет переход
на начало зараженной программы, из которой он и
стартовал .
После этого зараженная программа выполняется,как
обычно .
Сам вирусный код выполняется очень быстро и для
пользователя ЭВМ этот процесс остается незаметным.
Стоит заметить, что п.5 может вообще не выполнять-
ся .Существуют вирусы, которые никак не проявляют
себя, кроме размножения ( например, VIENNA 534 ).
Вместе с тем есть и такие, которые способны нанес-
ти определенный вред файлам или диску.Например,ви-
рус ANTI_EXE мешает нормально работать с EXE -
файлами, DARK AVENGER записывает бессмысленную ин-
формацию в случайные сектора диска, а ONEHALF шиф-
рует сектора на винчестере один за другим .Все за-
висит от изобретательности автора .