Архив спецвыпуска журнала Хакер на www.realsoft.by.ru, номер #035, стр. 035-036-8, Технология шифрования

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #35, ОКТЯБРЬ 2003 г.

Технология шифрования

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-036-8

Стелс-технологии - частичное или полное сокрытие в системе. При этом вирь перехватывает запрос операционки на чтение/запись зараженных объектов, либо подставляют вместо себя незараженные участки информации.

Вообще, полиморфизм - высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре (или, попросту, маске). Обычно детекторы заразы определяют вирь по характерным кускам его кода. В случае с полиморфиком такое не прокатит.

Немаловажной особенностью полиморфа является то, что вирус содержит мусор, то есть операнды, функции и процедуры, которые служат лишь для запутывания кода.

Существуют вирусы, которые состоят из программных единиц-частей. Они постоянно меняются в теле и перемещают свои подпрограммы. Лечение таких вирусов пока не производится, но и для написания нужно очень хорошо разбираться в ассемблере.

Любой может написать хороший полиморфный вирус. Необходимо лишь немного разбираться в ассемблере. На создание среднего полиморфика тратится не более шести часов.

Мусор не должен мешать процессу расшифровки кода, а лишь радовать глаз антивируса и неопытного пользователя, трассирующего зараженный файл.

Если будешь писать вирус, то делай это лишь в целях самообразования. Используя чужой дешифратор кода, хороший полиморф ты все равно не напишешь. Поэтому запускать вирь на чужих беззащитных машинах будет просто глупо.

Теперь вирмейкеру не нужно было писать свой дешифратор, а лишь воспользоваться MtE, в результате чего мир узнал о новом семействе вирусов.

Одним из опасных вирусов был Predator, который перехватывал прерывания 13h и 21h и записывал себя в конец всех COM-файлов. Используя int 13h, вирь проверял сектора, считываемые с дисков, и изменял в них один бит в определенное время.

Еще один пример - вирус Seat. После заражения вирь перехватывает 21h, записывает себя в исполняемые файлы. Затем наступает самое интересное. Время от времени на экране компьютера появляется голая задница, а при нажатии на клавиши раздаются характерные для изображения звуки ;).

Дешифратор SPE позволял записывать код вируса в исполняемые файлы и организовывал специальный счетчик. При его определенных значениях вирь стирал содержимое MBR винчестера и перезагружал компьютер.

Назад на стр. 035-036-7 Содержание