Студопедия

Главная страница Случайная лекция


Мы поможем в написании ваших работ!

Порталы:

БиологияВойнаГеографияИнформатикаИскусствоИсторияКультураЛингвистикаМатематикаМедицинаОхрана трудаПолитикаПравоПсихологияРелигияТехникаФизикаФилософияЭкономика



Мы поможем в написании ваших работ!




Алгоритм работы COM – вируса

Лабораторная работа №3

Изучение работы COM-вируса

Цель работы и содержание: изучить работу COM-вируса

 

Отчет должен содержать ответы на контрольные вопросы.

 

Доп. литература по ЛР №3 находится в папке «\\192.168.31.31\для студентов\Вирусы\
Книга по вирусам !!! НЕ РАСПРОТРАНЯТЬ !!!\»

Ход работы

Алгоритм работы COM – вируса

 

Варианты внедрения вируса в программы

 

Один из возможных алгоритмов работы резидентного COM - вируса .
По своей сути резидентный вирус отличается от обычной резидентной программы только тем, что он размножается сам по себе, независимо от желания пользователя. Значит,построить его можно по той же схеме, по которой пишутся обычные TSR - программы .Но сначала выясним,что должны делать секция инициализации вируса и его резидентная часть .

 

Секция инициализации выполняет следующие действия:

 

1. Получает управление при запуске зараженной про-

граммы .

2. Проверяет, установлена ли в память резидентная

часть вируса .

3. Восстанавливает в памяти компьютера исходные

три байтa этой программы .

Если резидентная часть не установлена,выполняю-

тся следующие действия :

1. Отыскивается свободный блок памяти достато-

чного для размещения вируса размера .

б.) Код вируса копируется в найденный блок па-

мяти .

в.) В таблице векторов прерываний соответству-

ющие вектора заменяются точками входа в ви-

русные обработчики .

г.) Выполняется переход на начало зараженной

программы ( на адрес CS : 100h ).После это-

го программа выполняется, как обычно .

 

В том случае, если резидентная часть вируса уже находится в памяти, он просто передает управление зараженной программе .

 

В ходе работы необходимо:

1. Изменить файл (дописать в него любой исполняемый НЕ вредоносный код с помощью разработанной программы или внесением изменения вручную):

2. «\\192.168.31.1\для студентов\Вирусы\лабораторные\программы для ЛР\
NTDETECT.COM» одним из известных методов работы СОМ-вирусов без потери его работоспособности;

3. продемонстрировать с помощью любого редактора (наглядно показывающего содержимое файла в шестнадцатеричном виде) внесённые изменения;

4. продемонстрировать процесс перехвата внесения изменения в файл NTDETECT.COM любыми средствами (написанная программа, готовая программа и т.д.).

5. записать в папку «\\192.168.31.1\для студентов\Вирусы\лабораторные\для программ студентов\”Ф.И.О.”\ » изменённый файл NTDETECT.COM, программу (и её исходный код) вносившую изменения, наглядные результаты процесса перехвата внесения изменения в файл.

 

 

Контрольные вопросы

1. Как работает СОМ-вирус?

2. Какие действия осуществляются для выполнения хода лабораторной работы п.1. ?

3. Какие изменения были внесены в файл NTDETECT.COM ?

4. Как и с помощью чего можно обнаружить программу вносящую изменение в СОМ-файлы ?


<== предыдущая страница | следующая страница ==>
Необходимые изменения | 

Дата добавления: 2015-06-30; просмотров: 355; Нарушение авторских прав




Мы поможем в написании ваших работ!
lektsiopedia.org - Лекциопедия - 2013 год. | Страница сгенерирована за: 0.003 сек.