[ Pobierz całość w formacie PDF ]
.Kontrola procedury obsÅ‚ugi tego przerwania pozwalawykryć uruchomiony debugger.> 03h - PuÅ‚apka programowa (ang.breakpoint}, ze wzglÄ™du na 1-bajtowÄ… instrukcjÄ™ (kod0CCh) stosowana przez debuggery;powy\sza wÅ‚aÅ›ciwość powoduje, i\ instrukcjÄ™ tÄ™ stosujÄ… bardzo krótkie wirusy dowywoÅ‚ywania pierwotnej procedury obsÅ‚ugi przejÄ™tego przez nie przerwania.Podobniejak w przypadku przerwania numer 0lh, kontrolujÄ…c INT 03h mo\na wykryć wÅ‚Ä…czonydebugger.> 08h - Przerwanie sprzÄ™towe IRQ 0 - standardowo zgÅ‚aszane 18 razy na sekundÄ™przez ukÅ‚ad zegara 8253/8254 (czÄ™stotliwość generowania tego przerwania mo\nazmienić programowo).WewnÄ…trz procedury jego obsÅ‚ugi znajduje siÄ™ rozkaz wywoÅ‚aniaprzerwania 1Ch.Najczęściej u\ywane jest ono do realizacji efektów specjalnych,rzadziej do autoweryfikacji wirusa.> 09h - Przerwanie sprzÄ™towe IRQ l, wywoÅ‚ywane po naciÅ›niÄ™ciu lub puszczeniuklawisza na klawiaturze.Odczytany z portu 60h klawisz jest dekodowany przez funkcjÄ™(4F/15), a nastÄ™pnie umieszczany w buforze klawiatury, skÄ…d dostÄ™pny jest pózniej dlafunkcji przerwania 16h.Podobnie Jak IRQ O, przerwanie 09h u\ywane jest zwykle doefektów specjalnych i czasem do autoweryfikacji (na przykÅ‚ad kod wirusa jestsprawdzany przy ka\dym naciÅ›niÄ™ciu lub puszczeniu klawisza).> 10h - Przerwanie programowe BIOS obsÅ‚ugujÄ…ce funkcje ekranu;u\ywane do efektów specjalnych lub w celu informowania innych kopii wirusa oobecnoÅ›ci w pamiÄ™ci.> 12h - Przerwanie programowe BIOS zwracajÄ…ce po wywoÅ‚aniu wielkość pamiÄ™cioperacyjnej podanÄ… w kilobajtach.Zwracana wartość jest odczytywana ze zmiennejsystemowej BIOS, znajdujÄ…cej siÄ™ pod adresem 0000:0413.Przerwanie to wykorzystujÄ…głównie wirusy tablicy partycji i BOOT-sektorów, gdy zmniejszajÄ… ilość pamiÄ™cidostÄ™pnej dla systemu DOS.Aby tego dokonać, nie muszÄ… jednak przejmowaćprzerwania, a tylko zmodyfikować wy\ej wymienionÄ… zmiennÄ… BIOS.Czasemprzerwanie 12h przejmowane jest w celu informowania innych kopii wirusa o obecnoÅ›ciw systemie.> 13h - Przerwanie programowe BIOS odpowiedzialne za obsÅ‚ugÄ™ dysków na poziomiesektorów.ObsÅ‚ugujÄ…c dyskietki wywoÅ‚uje przerwanie 40h.Jest ono u\ywane najczęściejpodczas infekcjiprzez wirusy atakujÄ…ce Główny Rekord AadujÄ…cy (MBR), BOOT-sektory i JAP.JegoWirusy.Pisanie wirusów i antywirusów - Adam BlaszczykprzejÄ™cie umo\liwia zastosowanie techniki stealth dla sektorów, a tak\e informowanieinnych kopii wirusa o obecnoÅ›ci w systemie.> 14h - Przerwanie programowe BIOS odpowiedzialne za obsÅ‚ugÄ™ Å‚Ä…czy szeregowych.Przechwytywane (choć rzadko) dla efektów specjalnych, polegajÄ…cych naprzekÅ‚amywaniu odczytów7 i zapisów zÅ‚Ä…cza.> 15h - Przerwanie programowe BIOS odpowiedzialne za dodatkowe funkcjesystemowe.Mo\e być przejmowane dla efektów specjalnych, polegajÄ…cych na zmianieobsÅ‚ugi funkcji 4Fh.Powy\sza funkcja jest wywoÅ‚ywana przez przerwanie sprzÄ™toweIRQ l (09h) i odpowiada za dekodowanie klawiszy do postaci widzianej pózniej przezprzerwanie programowe int 16h.Godna uwagi jest tak\e funkcja (9000/15), wywoÅ‚ywanaprzez procedurÄ™ obsÅ‚ugi przerwania sprzÄ™towego IRQ 14 (76h), której przejÄ™cieumo\liwia zastosowanie techniki hardware-level stealth.> 16h - Przerwanie programowe BIOS odpowiedzialne za obsÅ‚ugÄ™ klawiatury.Przejmowane najczęściej dla efektów specjalnych lub w celu informowania innych kopiiwirusa o obecnoÅ›ci w pamiÄ™ci.> 17h - Przerwanie programowe BIOS obsÅ‚ugujÄ…ce drukarki.Przejmowane (choćrzadko) dla efektów specjalnych, polegajÄ…cych np.na faÅ‚szowaniu drukowanychznaków.> 1Ch - Przerwanie wywoÅ‚ywane przez przerwanie sprzÄ™towe IRQ 0 (08h), najczęściejprzejmowane do celów efektów specjalnych (choć w tym wypadku lepiej przejąć obsÅ‚ugÄ™przerwania IRQ 0).> 21h - Przerwanie programowe DOS odpowiedzialne m.in.za obsÅ‚ugÄ™ dyskówlogicznych na poziomie plików, a tak\e pamiÄ™ci operacyjnej, czyli newralgicznych częścisystemu, stÄ…d te\ jest ono najczęściej przejmowanym przez wirusy przerwaniem.Umo\liwia infekcjÄ™ plików przy ich otwieraniu, zamykaniu, czytaniu, zmianie nazwy,uruchamianiu itd.oraz pozwala na ukrywanie siÄ™ w systemie.Ze wzglÄ™du na to, i\ jestpotrzebne wirusom do mno\enia siÄ™, nie wykorzystywane przez system numery funkcjiczÄ™sto sÅ‚u\Ä… innym kopiom wirusa do sprawdzania jegoobecnoÅ›ci w systemie (nie musi on ju\ przejmować innego przerwania, gdy\ wy\ejwymieniona operacja wykonywana jest niejako przy okazji).> 24h - Przerwanie programowe DOS obsÅ‚ugujÄ…ce bÅ‚Ä™dy krytyczne systemu.Wwypadku wystÄ…pienia bÅ‚Ä™du wywoÅ‚uje ono standardowo tzw.dialog ARIF (skrót od ang.Abort Retry Ignore Fail), pozwalajÄ…cy u\ytkownikowi zadecydować, jakÄ… podjąćoperacjÄ™.Przerwanie to wirusy przejmujÄ… na czas infekcji, aby w razie wystÄ…pieniajakiegoÅ› bÅ‚Ä™du wirus mógÅ‚ sam zadecydować, jakÄ… akcjÄ™ chce podjąć.Nowa obsÅ‚ugaprzerwania najczęściej zawiera dwie instrukcje nakazujÄ…ce systemowi DOSsygnalizować bÅ‚Ä…d programowi wywoÅ‚ujÄ…cemu (czyli wirusowi).WyglÄ…dajÄ… onenastÄ™pujÄ…co:Typowa procedura obsÆ ugi przerwania int 24h uÎ ywana podczasinfekcjiMOV AL,3 ; sygnalizuj bÆ d programowi (czyliwirusowi)IRET ; powrÇt 2 obsÆ ugi przerwania> 25h - Przerwanie programowe DOS odpowiedzialne za odczyt sektorów z dyskówlogicznych, czasem u\ywane do ukrywania siÄ™ w systemie, ale głównie do Å‚atwegoodczytywania BOOT-se-ktorów.> 26h - Przerwanie programowe DOS odpowiedzialne za zapis sektorów na dyskachWirusy.Pisanie wirusów i antywirusów - Adam Blaszczyklogicznych.Najczęściej u\ywane jest do infekcji BOOT-sektorów.Zwykle wykorzystuj Ä…je konie trojaÅ„skie do destrukcji.> 27h - Przerwanie programowe DOS.Umo\liwia zakoÅ„czenie programu zpozostawieniem kodu w pamiÄ™ci.U\ywajÄ… go niektóre, zwÅ‚aszcza stare, programy TSR,nowsze korzystajÄ… z funkcji (31/21).WykorzystujÄ…c dziaÅ‚anie tego przerwania lub funkcji(31/21) mo\na napisać prostego wirusa rezydentnego.> 28h - Przerwanie programowe DOS pozwalajÄ…ce na wykonywanie pewnych operacji wtle, co jest wykorzystywane m.in.przez program PRINT.Mo\e być u\yteczne doinfekowania plików, gdy DOS nie jest zajÄ™ty \adnym zadaniem, tak jak robi to np.wirusDOS-IDLE.> 2Fh - Przerwanie multipleksowane systemu.Ze wzglÄ™du na ró\norodnośćwykonywanych funkcji umo\liwia m.in.znajdowanie oryginalnej procedury przerwania13h (13h/2F), informowanie innych kopii wirusa o obecnoÅ›ci w systemie oraz infekcjÄ™plików przy ich zamykaniu.To ostatnie mo\liwe jest dziÄ™ki zastosowaniu funkcji(1216/1220/2F), operujÄ…cych na systemowych tablicach SFT (ang
[ Pobierz całość w formacie PDF ]
Tematy
IndexPhillipson Sandra Lato z Ariane
Von Kurthy Ildiko Taryfa księżycowa
§ Haas Wolf Simon Brenner 06 Wieczne życie
Covel Michael W. The Complete TurtleTrader. The Lgends, The Lessons, The Results
LP. IV VI. Swift Jonathan Podróże Gulliwera
Byron Katie i Michael Katz Kłamstwa o miłoÂści
Eo Prus, Boleslaw La faraono 3
Lubelska Krystyna Życie tam i z powrotem
Silva Daniel Gabriel Allon 05 Książę ognia
Palmer Diana Panna z Charlestonu