[ главная ]   [ рейтинг статей ]   [ справочник радиолюбителя ]   [ новости мира ИТ ]



Ответов: 0
25-02-12 07:01







   Web - программирование
PHP


ASP






XML



CSS

SSI





   Программирование под ОС











   Web - технологии








   Базы Данных









   Графика






Данные




IT - Обзор / Разное /

Защита от трассировки и антивирусов

Обман антивирусов

На практике обман антивируса не такое уж и сложное дело. Я написал простой "вирус-пробник" и на нем испытывал различные уловки для разных антивирусов. И вот что у меня получилось :

Doctor WEB v4.05

Допустим мы написали COM-вирус, который работает по следующей схеме :

  • ищем все файлы (*.*)
  • проверяем расширение на COM
  • заражаем, если COM
    За это будет отвечать приблизительно такой участок кода :

    ; SI = offset расширения
    lodsw
    cmp AX,'OC'
    jne NOT_COM
    lodsb
    cmp AL,'M'
    jne NOT_COM
    COM:

    Если заменить вышеприведенное нижеприведенным, то DrWeb v4.05 на это приведенное ругаться не будет :

    ; SI = offset расширения
    lodsw
    inc AX
    cmp AX,'OD'
    jne NOT_COM
    lodsb
    inc AL
    cmp AL,'N'
    jne NOT_COM
    COM:

    Этот же прием можно использовать при проверке найденного COM'а на COMMAND.COM.

    Следующий трюк подходит только для тех компьютеров, которые оборудованы жестким диском. Если, кстати, такового нет, то зачем вообще вирусу работать дальше (в общем случае) ? Следующие строчки не определяются Web'ом как вирусные :

    int 11h
    and AX,1
    add byte ptr FILE_MASK[+4],AL
    ...
    FILE_MASK db '*.COL',0

    После INT 11h в AX мы получаем так называемый Equipment List (список оборудования). Первый бит показывает наличие "винчестера".

    Для получения различных значений, неизвестных антивирусу, можно использовать так называемые "неочевидности". Например, следующий участок кода антивирусу ничего не говорит, поэтому только мы знаем, что получится после его выполнения.

    mov AH,32h - функция DOS : получить параметры диска
    mov DL,0FFh
    int 21h

    Если на компьютере нет диска N 255, то AL=0FFh. Вряд ли антивирус знает об этом. Недостаток именно этого фокуса в том, что данная функция является недокументированной, а некоторые антивирусы (TBAV, например) реагируют на ее вызов. А вообще советую поэкспериментировать с подобными приколами.


  • Комментарии

     Ваш комментарий к данному материалу будет интересен нам и нашим читателям!



    Последние статьи: IT - Обзор / Разное /

    Microsoft открывает язык программирования F#
    29-12-2010   

    Корпорация Microsoft накануне опубликовала полные исходные коды функционального языка программирования F#. Компания сделала вторую версию языка F# полностью открытой, включая исходники компиляторов и ключевых библиотек по условиям лицензии Apache 2.0.... подробнее

    Кол. просмотров: общее - 3930 сегодня - 1

    Автомобильный портативный компьютер NaviSurfer II
    21-12-2010   

    VIC Ltd представила портативны компьютер для автомобиля NaviSurfer II. Отличительная особенность новинки заключается в том, что она устанавливается на место однодиновой автомагнитолы.... подробнее

    Кол. просмотров: общее - 2975 сегодня - 2

    Структура COM и EXE файлов
    12-05-2010   

    Наверное всем известны файлы с расширением COM. Главным COM файлом на ПК является вездесущий command.com (командный файл DOS) . Что же такое COM файл, как он работает и запускается... подробнее

    Кол. просмотров: общее - 3829 сегодня - 0

    шифрование вируса
    12-05-2010   

    Здравствуйте, дорогие мои VX-еры и AV-еры (если прочитаете...) В этой маленькой, но очень познавательной статье хочу рассказать вам как можно скрыть свое вирусное детище от супер-мощных-современных антивирусных программ... подробнее

    Кол. просмотров: общее - 3284 сегодня - 1

    Защита от трассировки и антивирусов
    12-05-2010   

    На практике обман антивируса не такое уж и сложное дело. Я написал простой вирус-пробник и на нем испытывал различные уловки для разных антивирусов. И вот что у меня получилось... подробнее

    Кол. просмотров: общее - 3035 сегодня - 1



      WWW.COMPROG.RU - 2009-2012 | Designed and Powered by Zaipov Renat | Projects