Как завуалировать код на ASM?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Как завуалировать код на ASM? - 2008-03-24 20:20:16.436666
|
|
|
errors
Сообщений: 20
Оценки: 0
Присоединился: 2008-03-24 19:33:23.810000
|
Как можно спрятать код,не весь, хотябы команду int 21h. т.е. чтобы при компилировании скажем в .COM код не содержал команду int21h,а добавил бы ее в ходе исполнения? скажем есть старый вирус заражающий .COM файлы и AVP идентифицирует его как МОДИФИКАТОР .COM ВИРУСА, но не это мне важно. AVP реагирует на него изза содержания в коде команд открытия файла-жертвы и записи в него своего кода. стоит только убрать int21h в строчках открытия и записи файла-жертвы как AVP перестает на него реагировать. поэтому мне интересно как можно добавить этот int21h ТОЛЬКО в ходе исполнения.
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-03-24 21:44:24.703333
|
|
|
KingSise
Сообщений: 160
Оценки: 0
Присоединился: 2007-12-27 21:33:36.016666
|
Может просто криптором пройтись? Исходников как я понял, нет…
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-03-25 03:13:48.450000
|
|
|
Pashkela
Сообщений: 3756
Оценки: 736
Присоединился: 2007-01-03 06:19:40.900000
|
Во-первых http://www.wasm.ru/, а во-вторых так к делу не подходят - AVP никогда не шерстит весь файл, начинает с точки входа, так что думай про jmp, про много jmp, и про аналоги-команды
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-03-25 11:23:35.390000
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
Самомодифицирующийся код. К примеру, уменьшаешь опкод команды int21 на единицу, потом где-нибудь в начале программы вставляешь команду инкреминации этого опкода.
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-03-25 18:38:01.680000
|
|
|
errors
Сообщений: 20
Оценки: 0
Присоединился: 2008-03-24 19:33:23.810000
|
quote:
ORIGINAL: fromRIDDER
Самомодифицирующийся код. К примеру, уменьшаешь опкод команды int21 на единицу, потом где-нибудь в начале программы вставляешь команду инкреминации этого опкода.
да можно, НО есть одно НО
конечно ты наверняка знаешь как работают подобные вирусы но я все же немного опишу процесс:
он ищет .com файл… упустим некоторые подробности и перейдем к сути, затем открывает его (int21h) и записывает свой код (int21h) в конец файла-жертвы. допустим сделаем так: первый int21h не пишем а вместо него вставляем следующий код
…
mov word ptr m1,0CD21h
m1: dw 0000h
…
такой же код, только естественно вместо m1 пишем m2, вставляем вместо второго int21h.
таким образом получаем что исходник не содержит формально int21h на который реагирует AVP. компилируем.
проверяем AVPшником и действитель не реагирует, НО когда вирус копирует себя в файл-жертвы он копирует строчку m1(m2): dw 0000h не с 0000h а с уже поменяной на CD21h. Если с первым int21h можно решить вопрос вставив после m1: dw 0000h код mov word ptr m1,0000h , то со вторым int21h такой трюк не пройдет
т.к он уже скопирует себя в файл-жертвы с измененной m2: dw 0000h на CD21h. вот этот второй int21h я и не как немогу спрятать от этого avp.
если сделать как предложил ты то такая же история получится. т.е он скопируется с уже измененным кодом. жаль.
не знаю понятно ли я объяснил то чего хочу..
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-03-25 19:17:58.123333
|
|
|
errors
Сообщений: 20
Оценки: 0
Присоединился: 2008-03-24 19:33:23.810000
|
quote:
ORIGINAL: Pashkela
Во-первых http://www.wasm.ru/, а во-вторых так к делу не подходят - AVP никогда не шерстит весь файл, начинает с точки входа, так что думай про jmp, про много jmp, и про аналоги-команды
да неет я же говорю он реагирует в данном случае только на int21h в местах открытия файла и записи в него своего кода. без этих двух int21h он пропускает файл и говорит что он чистый. конечно можно обойтись и без прерывания int21h а самому обработать команду но это не так легко нак просто написать int21h.
а насчет wasm.ru ты прав забыл я про этот сайт совсем.
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-03-26 06:21:06.733333
|
|
|
fromRIDDER
Сообщений: 1075
Оценки: 30
Присоединился: 2008-01-14 20:20:53.380000
|
quote:
НО когда вирус копирует себя в файл-жертвы он копирует строчку m1(m2): dw 0000h не с 0000h а с уже поменяной на CD21h
Насколько я понял, код вируса, записываемый в файл-жертву, берётся из памяти. А что мешает взять с жёсткого диска. Конечно, вирус увеличивается на две команды int21 (открытие и чтение), но их можно завуалировать вышеописанным тобой способом (m1, m2, m3, m4).
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-05-06 22:23:23.446666
|
|
|
BigIron
Сообщений: 898
Оценки: 0
Присоединился: 2007-05-13 18:53:43.593333
|
Берешь картинку, рассылаешь ее туда, куда тебе надо, и криптуешься по ней.
далее - остаётся только по этой картинке навести семантику связей, и получишь твой код :D
А главное антивирусы ничего не найдут ни в картинке, ни в проге ;)
P.S.
Кстати картинки и прочую гадость, нынче бравзеры в великом множестве в своём кэше хранят, аж слюни иногда текут, как много всего можно использовать :D
|
|
|
|
|
RE: Как завуалировать код на ASM? - 2008-05-07 03:37:53.240000
|
|
|
furiousangel
Сообщений: 1116
Оценки: 0
Присоединился: 2005-05-28 06:31:47
|
Ну у меня сразу несколько вариантов вслывает……
1) неявный вызов прерываний….. вместо int 21h делать call на адресс вектора прерывания….. поищи у Криса в его "вирусах изнутри и снаружи" или у Калашникова в его "Ассемблер - это просто" (не помню точно, давно было)
2) у Калашникова в его "Ассемблер - это просто" описан довольно интересный антиотладочный метод….. чуток переделав его можно получить код, меняющийся на лету
|
|
|
|
|
|
