virus - huyền thoại hay thưc tế phần 3

Tham khảo tài liệu virus - huyền thoại hay thưc tế phần 3, công nghệ thông tin, đồ họa - thiết kế - flash phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
virus - huyền thoại hay thưc tế phần 3pop word ptr [SI]pop word ptr [SI+2]int 19h ;RebootError1:mov SI, offset error1_messjmp shor printCont2:;LÊy kÝch th−íc cña file hÖ thèng trong Root võa ®äc ®Ó tÝnh ra sè sector;cÇn ®äc v o.mov AX, word ptr [51Ch]xor DX, DXdiv SectorSizeinc AL ;TÝnh sè sectormov byte ptr [7C3Ch], AL ;øng víi kÝch th−íc filemov AX, word ptr [7C37h] ;t×m ®−îcmov BX, 700h ;§äc v o buffer b¾t 0:700hCont4:mov AX, word ptr [7C37h]call ChangeSectorToPhysicmov AX, TrackSectsub AL, byte ptr [7C3Bh]inc AXcmp byte ptr [7C37h], ALja cont3mov AL, byte ptr [7C3Ch]Cont3:push AXcall ReadSectopop AXje error1sub byte ptr [7C3Ch], ALje cont5add word ptr [7C37h], AXadd BX, AXjmp short cont4Cont5:;ChuyÓn tham sè cho file hÖ thèngmov CH, Mediamov DL, Diskmov BX, word ptr [7C3Dh]jmp 70:0Print_mess proc near ;In mét chuçi ASCIIZ trong DS:SIlod sbor AL, AL ;? cuèi chuçi ASCIIZje exit28www.updatesofts.commov AH, 0Ehmov BX, 7int 10h ;In ra m n h×nhjmp short Print_loop Print_mess endp ChangeSectorToPhysic proc near;V o: AX= sector logic cÇn ®æi;Ra: C¸c gi¸ trÞ t−¬ng øng Track, Head v sector ®−îc tÝnh v g¸n cho c¸c biÕn;word[7C39h], byte[7C2Ah], byte[7C3Bh]xor DX, DXdiv TrackSectinc DLmov byte ptr [7C3Bh], DLxor DX, DXdiv HeadCntmov byte ptr [7C2A], DLmov word ptr [7C39], AXExit:ret ChangeSectorToPhysic endp ReadSector proc near;Chøc n¨ng: ®äc sector cã gi¸ trÞ Track, head sector ® ®−îc tÝnh tr−íc ®ã qua;thñ tôc ChangeSectorToPhysic;V o: AL = sè sector ; ES:BX træ ®Õn buffer chøa d÷ liÖu;Ra : STC nÕu gÆp lçimov AH, 2mov DX, word ptr [7C39]mov CL, 5shl DH, CLor DH, byte ptr [7C3Bh]xchg CL, CHmov DL, Diskmov DH, byte ptr [7C2A]int 13hret ReadSector endp Error1_mess db 0Dh, 0Ah, ’Non-system disk or disk error’, 0 Error2_mess db 0Dh, 0Ah, ’Disk boot failure’, 0 File_sys1 db ‘IO.SYS’File_sys2 db ‘MSDOS.SYS’ Reserved db 17 dup (0) Disk db 0 ID-Disk dw 0AA55h 29§©y chØ l b−íc ph©n tÝch mét Boot sector ®¬n gi¶n, ®èi víi DOS 4.xx, kh¶ n¨ng qu¶n lÝ ®Üa®−îc më réng thªm (trªn 32Mb), do ®ã, còng t¹o nªn ®«i phÇn phøc t¹p cho ®o¹n m ®Þnh vÞc¸c vïng hÖ thèng trªn ®Üa. Dï sao, ®©y còng l mét ®Ò t i thó vÞ m c¸c b¹n cã thÓ tù m×nhph©n tÝch lÊy. Mét gîi ý nho nhá kh¸c l theo dâi sù biÕn ®æi c¸c tham sè ®Üa mÒm qua c¸c thÕhÖ m¸y, qua c¸c version cña DOS v qua c¸c phÇn mÒm cho phÐp format ®Üa.30www.updatesofts.com b - virusQua ch−¬ng 1, c¸c b¹n ® ®−îc cung cÊp nhiÒu th«ng tin lÝ thó vÒ ®Üa v còng ® ph©n tÝchxong c¸c ®o¹n m trong Partition table còng nh− Boot sector. T¸t c¶ nh÷ng ®iÒu ®ã còng chØnh»m mét môc ®Ých duy nhÊt: gióp chóng ta n¾m v÷ng v ph©n tÝch tèt mét B - virus. §Ó b¾t®Çu, chóng ta ph¶i tr¶ lêi c©u hái: Virus n y tõ ®©u ra?I - Ph−¬ng Ph¸p L©y LanNh− ta ® biÕt, sau qu¸ tr×nh POST, sector ®Çu tiªn trªn ®Üa A (nÕu kh«ng sÏ l C) ®−îc ®äcv o, mét t¸c vô kiÓm tra nho nhá ®Ó tr¸nh mét lçi: sector ®ã cã thÓ kh«ng ph¶i l mét Bootsector hîp lÖ, b»ng c¸ch kiÓm tra gi¸ trÞ nhËn diÖn 0AA55 t¹i cuèi sector. Nh−ng viÖc kiÓmtra n y còng kh«ng tr¸nh khái s¬ hë nÕu ai ®ã thay ®o¹n m trong Boot sector b»ng métch−¬ng tr×nh kh¸c víi ý ®å xÊu v ®ã còng chÝnh l c¸ch l©y lan cña mét virus lo¹i B.§èi víi ®Üa mÒm, sector 0 lu«n l Boot record, do ®ã, viÖc l©y chØ tiÕn h nh ®¬n gi¶n b»ngc¸ch thay Boot record trªn track 0, Side 0, sector 1.Song trªn ®Üa cøng cã chia c¸c partition, mäi chuyÖn l¹i phøc t¹p h¬n v× ®Çu tiªn Master boot®−îc ®äc v o, sau qu¸ tr×nh kiÓm tra partition active, Boot sector t−¬ng øng míi ®−îc ®äc v o.ChÝnh v× thÕ, c¸c Hacker cã quyÒn chän mét trong hai n¬i. Nh−ng c¶ hai ®Òu cã nh−îc ®iÓmcña m×nh.§èi víi Partition table, −u ®iÓm cã vÎ râ r ng: nã lu«n lu«n ®−îc n¹p v o vïng nhí ®Çu tiªn,cho dï sau ®ã hÖ ®iÒu h nh n o ®−îc kÝch ho¹t v v× B - virus ho¹t ®éng kh«ng t−¬ng thÝch víimét hÖ ®iÒu h nh n o m chØ thùc hiÖn ®èi víi ®Üa. MÆt kh¸c, nÕu bÊt k× mét phÇn mÒm n od−íi DOS dïng c¸c ng¾t 25h v 26h còng kh«ng thÓ truy nhËp ®Õn Partition table, do ®ã nãtr¸nh khái cÆp m¾t tß mß cña nhiÒu ng−êi. Dï vËy, nã vÉn cã khuyÕt ®iÓm: ph¶i chó ý ®ÕnPartition table, nghÜa l ®o¹n m ®−îc thay thÕ kh«ng ®−îc ghi ®Ì v o b¶ng tham sè n y. Métx©m ph¹m dï nhá còng sÏ ¶nh h−ëng ®Õn viÖc qu ...