[ Pobierz całość w formacie PDF ]
.Kontrola procedury obsługi tego przerwania pozwalawykryć uruchomiony debugger.> 03h - Pułapka programowa (ang.breakpoint}, ze względu na 1-bajtową instrukcję (kod0CCh) stosowana przez debuggery;powy\
sza właściwość powoduje, i\
instrukcję tę stosują bardzo krótkie wirusy dowywoływania pierwotnej procedury obsługi przejętego przez nie przerwania.Podobniejak w przypadku przerwania numer 0lh, kontrolując INT 03h mo\
na wykryć włączonydebugger.> 08h - Przerwanie sprzętowe IRQ 0 - standardowo zgłaszane 18 razy na sekundęprzez układ zegara 8253/8254 (częstotliwość generowania tego przerwania mo\
nazmienić programowo).Wewnątrz procedury jego obsługi znajduje się rozkaz wywołaniaprzerwania 1Ch.Najczęściej u\
ywane jest ono do realizacji efektów specjalnych,rzadziej do autoweryfikacji wirusa.> 09h - Przerwanie sprzętowe IRQ l, wywoływane po naciśnięciu lub puszczeniuklawisza na klawiaturze.Odczytany z portu 60h klawisz jest dekodowany przez funkcję(4F/15), a następnie umieszczany w buforze klawiatury, skąd dostępny jest póz
niej dlafunkcji przerwania 16h.Podobnie Jak IRQ O, przerwanie 09h u\
ywane jest zwykle doefektów specjalnych i czasem do autoweryfikacji (na przykład kod wirusa jestsprawdzany przy ka\
dym naciśnięciu lub puszczeniu klawisza).> 10h - Przerwanie programowe BIOS obsługujące funkcje ekranu;u\
ywane do efektów specjalnych lub w celu informowania innych kopii wirusa oobecności w pamięci.> 12h - Przerwanie programowe BIOS zwracające po wywołaniu wielkość pamięcioperacyjnej podaną w kilobajtach.Zwracana wartość jest odczytywana ze zmiennejsystemowej BIOS, znajdującej się pod adresem 0000:0413.Przerwanie to wykorzystujągłównie wirusy tablicy partycji i BOOT-sektorów, gdy zmniejszają ilość pamięcidostępnej dla systemu DOS.Aby tego dokonać, nie muszą jednak przejmowaćprzerwania, a tylko zmodyfikować wy\
ej wymienioną zmienną BIOS.Czasemprzerwanie 12h przejmowane jest w celu informowania innych kopii wirusa o obecnościw systemie.> 13h - Przerwanie programowe BIOS odpowiedzialne za obsługę dysków na poziomiesektorów.Obsługując dyskietki wywołuje przerwanie 40h.Jest ono u\
ywane najczęściejpodczas infekcjiprzez wirusy atakujące Główny Rekord A
adujący (MBR), BOOT-sektory i JAP.JegoWirusy.Pisanie wirusów i antywirusów - Adam Blaszczykprzejęcie umo\
liwia zastosowanie techniki stealth dla sektorów, a tak\
e informowanieinnych kopii wirusa o obecności w systemie.> 14h - Przerwanie programowe BIOS odpowiedzialne za obsługę łączy szeregowych.Przechwytywane (choć rzadko) dla efektów specjalnych, polegających naprzekłamywaniu odczytów7 i zapisów złącza.> 15h - Przerwanie programowe BIOS odpowiedzialne za dodatkowe funkcjesystemowe.Mo\
e być przejmowane dla efektów specjalnych, polegających na zmianieobsługi funkcji 4Fh.Powy\
sza funkcja jest wywoływana przez przerwanie sprzętoweIRQ l (09h) i odpowiada za dekodowanie klawiszy do postaci widzianej póz
niej przezprzerwanie programowe int 16h.Godna uwagi jest tak\
e funkcja (9000/15), wywoływanaprzez procedurę obsługi przerwania sprzętowego IRQ 14 (76h), której przejęcieumo\
liwia zastosowanie techniki hardware-level stealth.> 16h - Przerwanie programowe BIOS odpowiedzialne za obsługę klawiatury.Przejmowane najczęściej dla efektów specjalnych lub w celu informowania innych kopiiwirusa o obecności w pamięci.> 17h - Przerwanie programowe BIOS obsługujące drukarki.Przejmowane (choćrzadko) dla efektów specjalnych, polegających np.na fałszowaniu drukowanychznaków.> 1Ch - Przerwanie wywoływane przez przerwanie sprzętowe IRQ 0 (08h), najczęściejprzejmowane do celów efektów specjalnych (choć w tym wypadku lepiej przejąć obsługęprzerwania IRQ 0).> 21h - Przerwanie programowe DOS odpowiedzialne m.in.za obsługę dyskówlogicznych na poziomie plików, a tak\
e pamięci operacyjnej, czyli newralgicznych częścisystemu, stąd te\
jest ono najczęściej przejmowanym przez wirusy przerwaniem.Umo\
liwia infekcję plików przy ich otwieraniu, zamykaniu, czytaniu, zmianie nazwy,uruchamianiu itd.oraz pozwala na ukrywanie się w systemie.Ze względu na to, i\
jestpotrzebne wirusom do mno\
enia się, nie wykorzystywane przez system numery funkcjiczęsto słu\
ą innym kopiom wirusa do sprawdzania jegoobecności w systemie (nie musi on ju\
przejmować innego przerwania, gdy\
wy\
ejwymieniona operacja wykonywana jest niejako przy okazji).> 24h - Przerwanie programowe DOS obsługujące błędy krytyczne systemu.Wwypadku wystąpienia błędu wywołuje ono standardowo tzw.dialog ARIF (skrót od ang.Abort Retry Ignore Fail), pozwalający u\
ytkownikowi zadecydować, jaką podjąćoperację.Przerwanie to wirusy przejmują na czas infekcji, aby w razie wystąpieniajakiegoś błędu wirus mógł sam zadecydować, jaką akcję chce podjąć.Nowa obsługaprzerwania najczęściej zawiera dwie instrukcje nakazujące systemowi DOSsygnalizować błąd programowi wywołującemu (czyli wirusowi).Wyglądają onenastępująco:Typowa procedura obs� ugi przerwania int 24h u� ywana podczasinfekcjiMOV AL,3 ; sygnalizuj b� d programowi (czyliwirusowi)IRET ; powr�t 2 obs� ugi przerwania> 25h - Przerwanie programowe DOS odpowiedzialne za odczyt sektorów z dyskówlogicznych, czasem u\
ywane do ukrywania się w systemie, ale głównie do łatwegoodczytywania BOOT-se-ktorów.> 26h - Przerwanie programowe DOS odpowiedzialne za zapis sektorów na dyskachWirusy.Pisanie wirusów i antywirusów - Adam Blaszczyklogicznych.Najczęściej u\
ywane jest do infekcji BOOT-sektorów.Zwykle wykorzystuj ąje konie trojańskie do destrukcji.> 27h - Przerwanie programowe DOS.Umo\
liwia zakończenie programu zpozostawieniem kodu w pamięci.U\
ywają go niektóre, zwłaszcza stare, programy TSR,nowsze korzystają z funkcji (31/21).Wykorzystując działanie tego przerwania lub funkcji(31/21) mo\
na napisać prostego wirusa rezydentnego.> 28h - Przerwanie programowe DOS pozwalające na wykonywanie pewnych operacji wtle, co jest wykorzystywane m.in.przez program PRINT.Mo\
e być u\
yteczne doinfekowania plików, gdy DOS nie jest zajęty \
adnym zadaniem, tak jak robi to np.wirusDOS-IDLE.> 2Fh - Przerwanie multipleksowane systemu.Ze względu na ró\
norodnośćwykonywanych funkcji umo\
liwia m.in.znajdowanie oryginalnej procedury przerwania13h (13h/2F), informowanie innych kopii wirusa o obecności w systemie oraz infekcjęplików przy ich zamykaniu.To ostatnie mo\
liwe jest dzięki zastosowaniu funkcji(1216/1220/2F), operujących na systemowych tablicach SFT (ang [ Pobierz całość w formacie PDF ]

Tematy