Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RFpro.ru: Ассемблер? Это просто! Учимся программировать


РАССЫЛКИ ПОРТАЛА RFPRO.RU

Лучшие эксперты в разделе

Коцюрбенко Алексей aka Жерар
Статус: Мастер-Эксперт
Рейтинг: 458
∙ повысить рейтинг »
Куликов Роман Евгеньевич
Статус: 1-й класс
Рейтинг: 0
∙ повысить рейтинг »
Козлова Ольга Александровна
Статус: 1-й класс
Рейтинг: 0
∙ повысить рейтинг »

∙ Assembler

Номер выпуска:1615
Дата выхода:03.06.2016, 01:21
Администратор рассылки:Лысков Игорь Витальевич (Старший модератор)
Подписчиков / экспертов:23 / 8
Вопросов / ответов:1 / 1

Консультация # 189489: Здравствуйте! Посоветуйте пожалуйста литературу по assemblery. При чтении Калашникова О.А с главы 17 начинаешь терять смысл. Хоть в книге и описано вроде на понятном языке, но хочется более подробного объяснения. Можно опять начать с азов но с более глубоким объяснением. Заранее спасибо!!! ...

Консультация # 189489:

Здравствуйте! Посоветуйте пожалуйста литературу по assemblery. При чтении Калашникова О.А с главы 17 начинаешь терять смысл. Хоть в книге и описано вроде на понятном языке, но хочется более подробного объяснения. Можно опять начать с азов но с более глубоким объяснением.

Заранее спасибо!!!

Дата отправки: 24.05.2016, 01:11
Вопрос задал: novice (Посетитель)
Всего ответов: 1
Страница онлайн-консультации »


Консультирует Зенченко Константин Николаевич (Модератор):

Здравствуйте, novice!

При запуске зараженной программы, вирус должен получать управлениие, именно поэтому первые 6-ть байт, заражаемой программы запоминаются, и туда записывают переход на тело вируса. Для перехода достаточно трех байт, остальные три нужны для индентификации уже зараженного файла.

Зараженные файлы имеют произвольную длину, поэтому вирус должен сам определять где он расположен. Для этого служат строки:

Код (Assembler) :: выделить код
      call Get_IP
Get_IP:
       pop ax
       sub ax,offset Get_IP

Получив управление вирус знает только сколько байт нужно отнять, чтобы попасть на начало вируса. Также вирус знает сколько байт нужно копировать. Вычислив нужные адреса, вирус переносит своё тело в мало используемую область памяти. Теперь вирус находится по нужному адресу и все смещения в сегменте правильные. Передав управление в видеобуфер вирус начинает искать сом-файлы.

Закончив поиск, вирус востанавливает первые шесть байт незараженной программы и передает и управление по адресу 100h, т.е. на стандартную точку входа. Это нужно чтобы скрыть свое присутствие в системе.
Удачи!

Консультировал: Зенченко Константин Николаевич (Модератор)
Дата отправки: 02.06.2016, 17:09

5
нет комментария
-----
Дата оценки: 02.06.2016, 17:28

Рейтинг ответа:

НЕ одобряю 0 одобряю!


Оценить выпуск | Задать вопрос экспертам

главная страница  |  стать участником  |  получить консультацию
техническая поддержка

Дорогой читатель!
Команда портала RFPRO.RU благодарит Вас за то, что Вы пользуетесь нашими услугами. Вы только что прочли очередной выпуск рассылки. Мы старались. Пожалуйста, оцените его. Если совет помог Вам, если Вам понравился ответ, Вы можете поблагодарить автора - для этого в каждом ответе есть специальные ссылки. Вы можете оставить отзыв о работе портале. Нам очень важно знать Ваше мнение. Вы можете поближе познакомиться с жизнью портала, посетив наш форум, почитав журнал, который издают наши эксперты. Если у Вас есть желание помочь людям, поделиться своими знаниями, Вы можете зарегистрироваться экспертом. Заходите - у нас интересно!
МЫ РАБОТАЕМ ДЛЯ ВАС!


В избранное