"Игорь Коваль. Как написать вирус" - читать интересную книгу автора прямого ближнего перехода . Вирус записывает эту
команду вместо первых трех байт заражаемого файла, а исходные три байта сохраняет в своей области данных .Теперь при запуске зараженной программы код вируса всегда будет выполняться первым . 1.3 Работа вируса в зараженной программе Получив управление при старте зараженной програ- ммы, вирус выполняет следующие действия : 1. Восстанавливает в памяти компьютера исходные три байтa этой программы . 2. Ищет на диске подходящий COM - файл . 3. Записывает свое тело в конец этого файла . 4. Заменяет первые три байта заражаемой программы командой перехода на свой код, сохранив предвари- тельно исходные три байта в своей области данных. 5. Выполняет вредные действия, предусмотренные ав- тором . 6. Передает управление зараженной программе . По- скольку в COM - файле точка входа всегда равна CS : 100h, можно не выполнять сложных расчетов, а просто выполнить переход на этот адрес . Если же подходящих для заражения COM - файлов най- дено не было, то вирус просто осуществляет переход на начало зараженной программы, из которой он и стартовал . После этого зараженная программа выполняется,как обычно . Сам вирусный код выполняется очень быстро и для пользователя ЭВМ этот процесс остается незаметным. Стоит заметить, что п.5 может вообще не выполнять- ся .Существуют вирусы, которые никак не проявляют себя, кроме размножения ( например, VIENNA 534 ). Вместе с тем есть и такие, которые способны нанес- ти определенный вред файлам или диску.Например,ви- рус ANTI_EXE мешает нормально работать с EXE - файлами, DARK AVENGER записывает бессмысленную ин- формацию в случайные сектора диска, а ONEHALF шиф- рует сектора на винчестере один за другим .Все за- висит от изобретательности автора . |
|
|