Скачать книгу
Если нет возможности читать онлайн, скачайте книгу Создаем вирус и антивирус файлом для электронной книжки и читайте офлайн.
Virus Warning!
С этим сообщением, хоть раз в жизни, сталкивался любой пользователь компьютера. Вирмейкеры с упорством маньяков плодят все новые и новые разновидности вирусов. Бытует мнение, что избавиться от них можно лишь с помощью сложных и дорогостоящих новейших антивирусных программ. Это не совсем верно – знание принципов действия и способов внедрения вирусов поможет вовремя их обнаружить и локализовать, даже если под рукой не окажется подходящей антивирусной "вакцины".
В этой книге вы найдете обширный материал, посвященный проблеме защиты информации, рассмотренной с обеих сторон баррикад (как от лица вирмейкера, так и создателя антивирусов).
Содержание:
Игорь Гульев - Создаем вирус и антивирус 1
Введение 1
Глава 1 СОМ-вирусы 1
Структура и процесс загрузки COM-программы 1
Простейший COM-вирус 2
Способы внедрения COM-вирусов 3
Глава 2 EXE-вирусы 3
Структура и процесс загрузки EXE-программы 3
Классификация EXE-вирусов 3
Способы заражения EXE-файлов 4
Вирусы, замещающие программный код (Overwrite) 4
Вирусы-спутники (Companion) 5
Вирусы, внедряющиеся в программу (Parasitic) 6
Глава 3 Вирусы под Windows 7
Вирусы под Windows 3.11 8
Вирусы под Windows 95 9
Глава 4 Макро-вирусы 13
Инструментарий 13
Общие сведения 13
Процедура SaveAs 14
Специальные процедуры 14
Пример макро-вируса 14
Глава 5 Маскировка вирусов 14
Protected Mode – укрытие для вируса 14
Обход резидентных антивирусных мониторов 16
Flash BIOS 19
Глава 6 Методы борьбы с вирусами 21
Стандартные программы защиты 21
Поиск вируса 21
Как исследовать алгоритм работы вируса 23
Эвристические анализаторы кода 24
Блокировщик вируса 25
Пример антивируса 25
Глава 7 BBS и FTN-сети 26
Взлом BBS 27
Получение пароля BBS без взлома 27
Взлом FTN-сетей 28
Безопасность вашей BBS 29
Глава 8 Хакерские штучки, или Как они это делают 29
Проверка на отсутствие АОН 29
Советы по регистрации 29
Что "помнит" компьютер 29
К вопросу о CMOS SETUP 29
Программы, авторизующиеся в Online 30
Клавиатурные шпионы 30
Защита от ПЭМИН 30
Пейджинговая безопасность 30
Электронная почта 30
На FTP-сервер под чужим IP-адресом 32
Приложения 32
Приложение А Форматы заголовков EXE-файлов 32
Приложение Б Функции DOS (INT 21h) 33
Приложение В Функции программирования Flash в AMIBIOS 40
Приложение Г Функции DPMI (INT 31h) 41
Приложение Д Коды ошибок DOS 43
Список использованной литературы 43
Благодарности 43
Игорь Гульев
Создаем вирус и антивирус
Введение
Вряд ли стоит напоминать, что компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность…
Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении все более совершенных саморазмножающихся программ. Совсем недавно заражение вирусом текстовых файлов считалось абсурдом – сейчас этим уже никого не удивишь. Достаточно вспомнить появление "первой ласточки", наделавшей много шума – вируса WinWord.Concept, поражающего документы в формате текстового процессора Microsoft Word for Windows 6.0 и 7.0.
Хочется сразу заметить, что слишком уж бояться вирусов не стоит, особенно если компьютер приобретен совсем недавно, и много информации на жестком диске еще не накопилось. Вирус компьютер не взорвет. Ныне известен только один вирус (Win95.CIH), который способен испортить "железо" компьютера. Другие же могут лишь уничтожить информацию, не более того.
В литературе весьма настойчиво пропагандируется, что избавиться от вирусов можно лишь при помощи сложных (и дорогостоящих) антивирусных программ, и якобы только под их защитой вы можете чувствовать себя в полной безопасности. Это не совсем так – знакомство с особенностями строения и способами внедрения компьютерных вирусов поможет вовремя их обнаружить и локализовать, даже если под рукой не окажется подходящей антивирусной программы.
Глава 1 СОМ-вирусы
В этой главе рассказано об алгоритмах работы вирусов, заражающих COM-файлы, и способах их внедрения. Представлен исходный текст одного из таких вирусов с подробными комментариями. Также приведены основные сведения о структуре и принципах работы COM-программы.
Компьютерные вирусы могут "гнездиться" в самых неожиданных местах, например, в записи начальной загрузки MBR (master boot record), в исполняемых файлах типа COM и EXE, в файлах динамических библиотек DLL и даже в документах текстового процессора Microsoft Word for Windows. В этом разделе подробно рассматривается строение вируса, поражающего COM-файлы.
Структура и процесс загрузки COM-программы
Что же представляет собой COM-программа, как она загружается в память и запускается?
Структура COM-программы предельно проста – она содержит только код и данные программы, не имея даже заголовка. Размер COM-программы ограничен размером одного сегмента (64 Кбайт).
И еще два понятия, которые часто будут встречаться:
Program Segment Prefix (PSP) – область памяти размером 256 (0100h) байт, предшествующая программе при ее загрузке. PSP содержит данные командной строки и относящиеся к программе переменные.
Disk Transfer Address (DTA) – блок данных, содержащий адреса обмена данными с файлом (чтение или запись). Область DTA для работы с файлом используют многие функции, в том числе и не производящие чтение или запись в файл. Примером может служить функция 4Eh (найти первый файл по шаблону), которая будет неоднократно встречаться в листингах программ.
Загрузка COM-программы в память и ее запуск происходят так:
1. Определяется сегментный адрес свободного участка памяти достаточного для размещения программы размера.
2. Создается и заполняется блок памяти для переменных среды.
3. Создается блок памяти для PSP и программы (сегмент:0000Ь – PSP; сегмент:0100Ь – программа). В поля PSP заносятся соответствующие значения.
4. Устанавливается адрес DTA равным PSP:0080h.
5. Загружается COM-файл с адреса PSP:0100h.
6. Значение регистра AX устанавливается в соответствии с параметрами командной строки.
7. Регистры DS, ES и SS устанавливаются на сегмент PSP и программы (PSP:0000h).
8. Регистр SP устанавливается на конец сегмента, после чего в стек записывается 0000h.
9. Происходит запуск программы с адреса PSP:0100h.
COM-программа всегда состоит из одного сегмента и запускается со смещения 0100h.