|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Окт 17, 2003 16:50:54 Всем привет! Я изучаю вирусы по туториалам Bille, но так как уже после разборке с заражением com/exe файлов, понял что доверять его коду нельзя. Так вот сейчас работую над tsr-com вирем, который становиться резидентом через прямую манипуляцию с MCB и перехватывает 21 прерывание напрямую. Так вот всем способы, которые описал Билли не работают, в других туториалах таже проблема, что я только не делал, но одно понял точно(с помощью деббагера и кучи пробных файлов, которые писал, что найти, что именно не работает), что в моём вири не получается выйти резидентным ни каким способом, кроме как через int 27. Так вот, если кто уже это прошёл, то огромная просьба помочь, подсказать где именно искать проблему. Если такие люди найдуться, то я могу или запостить исходник или ту часть, которая отвечает за установку, на форум, или послать по мылу( мой адрес: pr0b@fromru.com) Всем спасибо! С уважением, pr0b |
|
|
Дата: Окт 17, 2003 19:27:09 pr0b В MCB который контролирует блок памяти где сидит вирь в качестве PSP владельца(word по смещению +1) напиши 8 - типа это данные ОС. А потом можешь спокойно передавать управление программе. Как бы она не вышла, память занимаемую вирем никто освобождать не будет. Еще возможно проблема в том, что ты пытаешься выдти через int 21h, которое перехвачено твоим вирем, поэтому программа зацикливается. |
|
|
Дата: Окт 18, 2003 18:33:46 Всё это я делал. Проблема происходит, когда я заношу сегмент виря в таблицу прерываний, не зависимо от того, что я делаю. Может я рушу MCB-цепочку??? А вообще перехватываю только функцию запуска программы. |
|
|
Дата: Окт 19, 2003 18:48:00 |
|
|
Дата: Окт 20, 2003 01:51:37 pr0b call next
next:
pop bp
sub bp, offset next
В bp получается 0. xor di, di
mov cx, endheap-start
mov si, bp
rep movsb
Поэтому копирование начинается с PSP а не с начала вируса. И вирус будут скопирован не весь. mov word ptr ds:[21h*4], offset int21 mov word ptr ds:[21h*4+2], es Правильное ли здесь смещение? |
|
|
Дата: Окт 20, 2003 09:21:46 pr0b Проблема происходит, когда я заношу сегмент виря в таблицу прерываний запрети прерывания |
|
|
Дата: Окт 20, 2003 17:27:24 |
|
|
Дата: Окт 21, 2003 00:23:58 По той причине, что смещение у тебя получается не то. Посмотри в отладчике, что ты собираешься записать в таблицу прерывания и что находится по этому адресу. |
|
|
Дата: Окт 22, 2003 09:42:33 Black_mirror, огромное тебе спасибо, всё подправил на 100h, и pr_tsr.asm заработал как надо. СПАСИБО!!!!! А то я уже с горя хотел заняться программированием под WIN32 и вирусами к ней. ЕЩЁ раз огромное тебе СПАСИБО!!! С уважением, pr0b |
