доброго времени суток!

вот ещё нашёл.

С уважением,

Матроскин

mailto:matroskin_mosc***@m*****.ru

КАК НАПИСАТЬ КОМПЬЮТЕРНЫЙ ВИРУС

СОДЕРЖАНИЕ

стр.

ВВЕДЕНИЕ ..................................... 5

ЧАСТЬ 1 . COM - ВИРУСЫ ....................... 6

ГЛАВА 1 . РАЗРАБОТКА НЕРЕЗИДЕНТНОЙ

ВИРУСНОЙ ПРОГРАММЫ .............. 6

1.1 Загрузка и выполнение

COM - программы ..................... 6

1.2 Как вирус может заразить

COM - файл .......................... 7

1.3 Работа вируса в

зараженной программе ................ 8

1.4 Как начинается

распространение вируса .............. 9

1.5 Начало работы ....................... 10

1.6 Вирус получает управление ........... 10

1.7 Восстанавливаем зараженную

программу ........................... 12

1.8 Запоминаем содержимое DTA ........... 12

1.9 Ищем подходящий файл ................ 13

1.10 Читаем исходные три байта ........... 15

1.11 Выполняем необходимые расчеты ....... 16

1.12 Проверяем файл на зараженность ...... 18

1.13 Заражаем COM - программу ............ 19

1.14 Восстанавливаем DTA ................. 20

1.15 Передаем управление

зараженной программе ................ 20

1.16 Область данных вирусной программы ... 21

1.17 Завершаем запускающую программу ..... 21

1.18 Текст нерезидентного COM - вируса ... 23

1.19 Комментарии ......................... 29

1.20 Испытание вируса .................... 29

ГЛАВА 2 . РАЗРАБОТКА РЕЗИДЕНТНОЙ

ВИРУСНОЙ ПРОГРАММЫ .............. 30

2.1 Понятие резидентного

( TSR ) вируса ...................... 30

2.2 Несколько слов о

резидентных программах .............. 30

2.3 Алгоритм работы

резидентного COM - вируса ........... 31

2.4 Заголовок вируса .................... 34

2.5 Вирус начинает работу ............... 34

2.6 Сохраняем регистры процессора ....... 38

2.7 Создаем секцию

инициализации ....................... 39

2.8 Запрашиваем блок памяти ............. 41

2.9 Делаем вирус " незаметным " ......... 44

2.10 Получаем вектора прерываний ......... 46

2.11 Копируем вирусный код в память ...... 48

2.12 Устанавливаем вектора прерываний

на вирусные обработчики ............. 48

2.13 Пишем резидентную часть ............. 50

2.14 Заражаем COM - файл ................. 51

2.15 Восстанавливаем регистры ............ 56

2.16 Пишем обработчики прерываний ........ 57

2.17 Обработчик Int 13h .................. 58

2.18 Обработчик Int 21h .................. 60

2.19 Обработчик Int 24h .................. 62

2.20 Обработчик Int 2Fh .................. 62

2.21 Обработчик Int 28h .................. 64

2.22 Область данных вируса ............... 64

2.23 Процедура идентификации COMMAND.COM.. 65

2.24 Завершаем программу ................. 66

2.25 Текст резидентного COM - вируса ..... 67

2.26 Комментарии ......................... 81

2.27 Испытание вируса .................... 82

ЧАСТЬ 2 . EXE - ВИРУСЫ ....................... 82

ГЛАВА 1 . РАЗРАБОТКА НЕРЕЗИДЕНТНОГО

EXE - ВИРУСА .................... 82

1.1 Формат EXE - файла на диске ......... 82

1.2 Загрузка и выполнение

EXE - программы ..................... 84

1.3 Как вирус может заразить

EXE - файл .......................... 86

1.4 Работа вируса в

зараженной программе ................ 86

1.5 Начало работы ....................... 88

1.6 Вирус получает управление ........... 88

1.7 Ищем подходящий файл ................ 89

1.8 Читаем заголовок файла .............. 92

1.9 Производим необходимые

вычисления .......................... 93

1.10 Заражаем EXE - программу ............ 98

1.11 Восстанавливаем DTA ................. 99

1.12 Восстанавливаем точку входа ......... 100

1.13 Область данных вируса ............... 101

1.14 Используемые процедуры .............. 103

1.15 Работа завершена .................... 104

1.16 Полный текст

нерезидентного EXE - вируса ......... 104

1.17 Несколько слов об

испытании вируса .................... 112

ГЛАВА 2 . РАЗРАБОТКА РЕЗИДЕНТНОГО

EXE - ВИРУСА .................... 113

2.1 Алгоритм работы резидентного

EXE - вируса ........................ 113

2.2 Защита от

программ - антивирусов .............. 115

2.3 Как реализовать защиту от

эвристического анализа .............. 116

2.4 Реализуем предложенный алгоритм ..... 119

2.5 Пишем промежуточный обработчик ...... 121

2.6 Защита от обнаружения вируса в файле. 122

2.7 Несколько слов о вредных

действиях вирусной программы......... 122

2.8 Полный текст резидентного

EXE - вируса ........................ 123

ЧАСТЬ 3 . ЗАГРУЗОЧНЫЕ ВИРУСЫ ................. 143

ГЛАВА 1 . РАЗРАБОТКА ЗАГРУЗОЧНОЙ

ВИРУСНОЙ ПРОГРАММЫ .............. 143

1.1 Краткие сведения о начальной

загрузке персонального компьютера ... 143

1.2 Понятие о загрузочных вирусах ....... 144

1.3 Алгоритм работы загрузочного

вируса .............................. 145

1.4 Как начинается распространение

вируса .............................. 147

1.5 Начало работы ....................... 147

1.6 Вирус получает управление ........... 148

1.7 Защита от антивирусных программ ..... 150

1.8 Перехватываем Int 13h ............... 152

1.9 Читаем исходную BOOT - запись ....... 153

1.10 Заражаем MBR винчестера ............. 154

1.11 Пишем обработчик прерывания Int 13h . 156

1.12 Используемые процедуры .............. 161

1.13 Область данных вируса ............... 162

1.14 Пишем секцию инсталляции ............ 163

1.15 Текст загрузочного вируса ........... 166

1.16 Комментарии ......................... 176

1.17 Испытание вируса .................... 177

ЗАКЛЮЧЕНИЕ ................................... 177

ПРИЛОЖЕНИЕ 1

Краткий справочник по функциям

MS DOS и BIOS ................................ 178

ПРИЛОЖЕНИЕ 2

Формат загрузочной записи для MS DOS

различных версий ............................. 186

ПРИЛОЖЕНИЕ 3

КОДЫ ОШИБОК ПРИ ВЫПОЛНЕНИИ ФУНКЦИЙ

MS DOS и BIOS ................................ 192

ЛИТЕРАТУРА ................................... 194
Сейчас нас 72 человек.

-*Информационный канал Subscribe.Ru
Написать в лист: mailto:lit.book.library.ebookaccess-list@subscribe.ru
Отписаться: http://subscribe.ru/member/unsub?grp=lit.book.library.ebookaccess&email=
http://subscribe.ru/ mailto:ask@subscribe.ru

Доброго времени суток!

вот что есть у меня по вирусам.
могу выслать.

С уважением,
Матроскин
mailto:matroskin_mosc***@m*****.ru
На правах рукописи

БЕЗРУКОВ НИКОЛАЙ НИКОЛАЕВИЧ

КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ

Часть 1: Общие принципы функционирования,

классификация и каталог наиболее распространенных

вирусов в операционной системе MS DOS

Киев 1990

БЕЗРУКОВ Н.Н. КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ. Часть 1: Общие принципы
функционирования, классификация и каталог наиболее распространенных вирусов
в операционной системе MS DOS / Редакция 5.5 от 10.11.90.- 1990. - 450 с.
Ил. 11, список лит.: 340 назв., прил. 9.

Данная редакция заменяет предыдущие редакции (1.0-1.4, 2.0-

2.9, 3.0-3.7, 4.0-4.8, 5.0-5.4), и большинство описываемых в ней

программных продуктов уже опубликованы в вышедших в свет выпусках
электронного бюллетеня СОФТПАНОРАМА. Некоторые из упоминаемых

"свежих" версий программных средств защиты от вирусов, распространяемых
бесплатно (FREEWARE), а также средств, разработка которых

частично финансируется пользователями (SHAREWARE), были переданы

автору для ознакомления и тестирования и будут опубликованы в последующих
выпусках СОФТПАНОРАМЫ.

В редакции 5.5 исправлен ряд ошибок и опечаток, несколько

изменена структура главы 1 и переработана глава 10.

В редакции 5.4 уточнены сведения о некоторых вирусах, внесены
изменения в приложение 6.

В редакции 5.3 переработаны глава 6 и глава 8.

В редакции 5.2 уточнены сведения по последним обнаруженным

вирусам, исправлено оглавление, доработана гл.2, исправлена и дополнена
таблица в прил.1. Введен термин техно-крыса применительно

к разработчикам компьютерных вирусов, сознательно распространяющим

свои продукты.

В редакции 5.1 исправлены мелкие опечатки, а также неточности в
описании вируса RCE-04096.

В редакции 5.0 классификационные таблицы вынесены в приложения, внесен
ряд изменений в структуру книги, в частности, переработана гл.1. Добавлены
сведения про файловые вирусы С-257, С-1024,

RС-394, RС-488 и бутовые вирусы Stone Rostov, Print Screen.

В редакции 4.8 польская подгруппа выделена в отдельную группу файловых
нерезидентных вирусов. Исправлен ряд ошибок и опечаток.

В редакции 4.7 уточнен ряд сведений в табл.1, а также сведения про
вирус Joshy.

В редакции 4.6 переработан раздел 2.4. В связи с обнаружением
стелс-вирусов в СССР соответствующий раздел перенесен в гл.5, а

информация, относящаяся к вирусу RCE-04096, уточнена. Исправлен

ряд ошибок и неточностей в прил.2 и 3.

В редакции 4.5 в табл.3 для ряда вирусов внесены сигнатуры,

использованные в полидетекторе TNTVIRUS фирмы CARMEL. Исправлены

некоторые опечатки и неточности.

В редакции 4.4 полностью переработано приложение 4 и добавлено
приложение 5. Уточнены сведения по вирусу RC-492.

В редакции 4.3 внесен ряд изменений в приложения 2 и 3, уточнено
изложение некоторых пунктов глав 4 и 10.

В редакции 4.2 добавлены описания вирусов RCE-1600 (Пакость-3) и
WM-1F (Joshy). Полностью переработаны приложение 2 и

приложение 3. Дополнен список литературы. В текст внесено много

мелких изменений и уточнений. В связи с положительными отзывами на

"оживляж" в виде эпиграфов, добавлен ряд новых эпиграфов, а некоторые
неудачные заменены.

В редакции 4.1 изменена структура книги: глава 4 (КЛАССИФИКАЦИЯ МЕТОДОВ
ЗАЩИТЫ) объединена с главой 8 (ТЕХНОЛОГИЯ ПРИМЕНЕНИЯ

СРЕДСТВ ЗАЩИТЫ ОТ ВИРУСОВ). Предполагается, что в дальнейшем эта

глава будет вынесена из данной части и войдет во вторую часть данной работы.
В свою очередь табл.1 и табл.2 сокращены: в них оставлены только вирусы,
найденные в CCCР. Вирусы, известные по литературе, вынесены в отдельные
таблицы (табл.3 и табл.4), которые существенно переработаны и дополнены
сведениями из файла VIRUSSUM

П.Хоффман. Глава 5 (КАТАЛОГ НАИБОЛЕЕ РАСПРОСТРАНЕННЫХ ФАЙЛОВЫХ ВИРУСОВ) в
связи со своим большим объемом разбита на три: нерезидентные файловые
вирусы, обнаруженные в СССР, резидентные файловые вирусы, обнаруженные в
СССР, и вирусы, известные только по литературе. Глава 6 (КАТАЛОГ НАИБОЛЕЕ
РАСПРОСТРАНЕННЫХ БУТОВЫХ ВИРУСОВ)

разбита на две: бутовые вирусы, обнаруженные в СССР, и вирусы, известные
только по литературе. Несколько переработана структура дескриптора файлового
и бутового вируса. Доработано приложение 1.

В редакции 4.0 текст глав 1-4 и 7 существенно переработан и

дополнен. Исключены табл.3-8. Некоторые изменения и уточнения сделаны в
главе 5, в частности, сокращен и заменен ряд дампов. Вместо

термина "фильтр" в качестве названия этого класса антивирусных

программ теперь используется термин "сторож". Это сделано во избежание
путаницы с соответствующим термином MS DOS и UNIX. Как обычно, переработаны
и дополнены табл.1-2: в них внесены сведения о дате обнаружения вируса,
его распространенности, а для файловых

вирусов дополнительно приводятся J-сигнатуры. Кроме того, несколько изменена
структура дескриптора. В процессе подготовки материала к публикации к
некоторым главам с целью "оживления" изложения добавлены эпиграфы.

В редакции 3.7 расширены и дополнены табл.1-2, добавлено описание
вируса RC-492. Понятие J-сигнатуры обобщено и на файловые вирусы.
Восстановлено приложение 1, которое теперь содержит каталог опубликованных
в бюллетене СОФТПАНОРАМА антивирусных средств,

распространяемых бесплатно.

В редакции 3.6 глава 5 разбита на три главы по типам вирусов

(файловые, бутовые и сетевые), а также снято приложение 1, как устаревшее. В
редакции 3.5 расширены и исправлены табл.1-2, добавлены описания вирусов
RC-600, Den Zuk, Merphy, EXE, Muzikant, уточнены сведения о RCE-2000,
внесен ряд изменений и добавлений в гл.4

и 6. В редакции 3.4 исправлены табл.1-7, добавлено описание группы

Datacrime и уточнен ряд сведений о других вирусах. В редакции 3.3

добавлено описание вирусов группы IV, а также вставлен ряд недостающих
дампов штаммов, а некоторые, не совсем удачные, дампы заменены. В редакции
3.2 переработаны табл.1-2, уточнен ряд полей дескриптора, добавлено описание
вируса RCE-2000. В редакции 3.1 исправлены неточности, допущенные при
подготовке табл.1-2 редакции

3.0, и добавлен дамп штамма Brain86 (Ashar) пакистанской группы вирусов.

В редакции 3.0 значительно переработана структура книги. Изменено
правило для определения длины файловых вирусов (в качестве

эталонной программы теперь принимается не COMMAND.COM PC DOS вер-

сии 3.3 с длиной 25307 байтов, а программа, длина которой кратна

16; это приводит к уменьшению на 5 числовых значений в используемой
числовой классификационной характеристике для всех вирусов,

которые выравнивают свое тело на начало параграфа). В связи с возрастанием
количества вирусов материал, относящийся к файловым вирусам,
перегруппирован и разбит на групп(Венская, группа Каскад,

Иерусалимская и группа TP). Кроме того, изменены классификационные

коды: для файловых вирусов буква R вынесена в префикс, а для бутовых вирусов
в качестве характеристики теперь используется значение

второго байта бутсектора.

(С) 1989, 1990 Безруков Н.Н.

Разрешается бесплатное копирование и распространение при

условии сохранения целостности материала и отсутствия прямой

коммерческой выгоды. Авторам антивирусных программ разрешается

бесплатное воспроизведение в документации табл.1-4 независимо

от того, является ли данная программа бесплатной или

коммерческой. Для распространения с целью получения

коммерческой выгоды, включая поставку в качестве части

документации к продаваемым программным продуктам, использование

на платных курсах и т.д., необходимо заключение

соответствующего договора с автором.
Сейчас нас 72 человек.

-*Информационный канал Subscribe.Ru
Написать в лист: mailto:lit.book.library.ebookaccess-list@subscribe.ru
Отписаться: http://subscribe.ru/member/unsub?grp=lit.book.library.ebookaccess&email=
http://subscribe.ru/ mailto:ask@subscribe.ru

Я вот тут озадачился, на почту приходит куча спама и часто всякие письма с
вложенными файлами, в большинстве своем вирусами, так вот бы хотелось
узнать,
есть ли такая электронная книга, как справочник по вирусам, с их описанием,
как они проникают в систему, как лечиться и т.д.
Интересует не только электронная, но и печатная. В общем какая есть, а то я
раньше не встречал таких.

TUL
Сейчас нас 72 человек.

-*Информационный канал Subscribe.Ru
Написать в лист: mailto:lit.book.library.ebookaccess-list@subscribe.ru
Отписаться: http://subscribe.ru/member/unsub?grp=lit.book.library.ebookaccess&email=
http://subscribe.ru/ mailto:ask@subscribe.ru