Главная страница Случайная лекция Мы поможем в написании ваших работ! Порталы: БиологияВойнаГеографияИнформатикаИскусствоИсторияКультураЛингвистикаМатематикаМедицинаОхрана трудаПолитикаПравоПсихологияРелигияТехникаФизикаФилософияЭкономика Мы поможем в написании ваших работ! |
Алгоритм работы COM – вируса
Лабораторная работа №3 Изучение работы COM-вируса Цель работы и содержание: изучить работу COM-вируса
Отчет должен содержать ответы на контрольные вопросы.
Доп. литература по ЛР №3 находится в папке «\\192.168.31.31\для студентов\Вирусы\
Ход работы Алгоритм работы COM – вируса
Варианты внедрения вируса в программы
Один из возможных алгоритмов работы резидентного COM - вируса .
Секция инициализации выполняет следующие действия:
1. Получает управление при запуске зараженной про- граммы . 2. Проверяет, установлена ли в память резидентная часть вируса . 3. Восстанавливает в памяти компьютера исходные три байтa этой программы . Если резидентная часть не установлена,выполняю- тся следующие действия : 1. Отыскивается свободный блок памяти достато- чного для размещения вируса размера . б.) Код вируса копируется в найденный блок па- мяти . в.) В таблице векторов прерываний соответству- ющие вектора заменяются точками входа в ви- русные обработчики . г.) Выполняется переход на начало зараженной программы ( на адрес CS : 100h ).После это- го программа выполняется, как обычно .
В том случае, если резидентная часть вируса уже находится в памяти, он просто передает управление зараженной программе .
В ходе работы необходимо: 1. Изменить файл (дописать в него любой исполняемый НЕ вредоносный код с помощью разработанной программы или внесением изменения вручную): 2. «\\192.168.31.1\для студентов\Вирусы\лабораторные\программы для ЛР\ 3. продемонстрировать с помощью любого редактора (наглядно показывающего содержимое файла в шестнадцатеричном виде) внесённые изменения; 4. продемонстрировать процесс перехвата внесения изменения в файл NTDETECT.COM любыми средствами (написанная программа, готовая программа и т.д.). 5. записать в папку «\\192.168.31.1\для студентов\Вирусы\лабораторные\для программ студентов\”Ф.И.О.”\ » изменённый файл NTDETECT.COM, программу (и её исходный код) вносившую изменения, наглядные результаты процесса перехвата внесения изменения в файл.
Контрольные вопросы 1. Как работает СОМ-вирус? 2. Какие действия осуществляются для выполнения хода лабораторной работы п.1. ? 3. Какие изменения были внесены в файл NTDETECT.COM ? 4. Как и с помощью чего можно обнаружить программу вносящую изменение в СОМ-файлы ?
Дата добавления: 2015-06-30; просмотров: 355; Нарушение авторских прав Мы поможем в написании ваших работ! |