[ Pobierz całość w formacie PDF ]
.x04h Windows 38605h BOSS (Borland Operating System Services)81h PharLap 286IDOS-Extender, OS/282h PharLap 286IDOS-Extender, Windows37dodatkowe flagi programu0 u¿ywa d³ugich nazw plików1 tryb chroniony 2.X2 proporcjonalna czcionka 2.X3 0=gangload: nie ma, 1=gangload: jest38-39offset do strefy gangload3A-3Boffset do segmentu odwo³añi do strefy gangload3C-3Dminimalny rozmiar kodu wymienialnego3E-3Fspodziewana wersja systemu Windows (mniej znacz¹ca czêœæ jako pierwsza,bardziej znacz¹ca czêœæ jako druga)Format tablicy relokacji pliku nowy EXE (NE) dla WindowsAdresZawartoœæ00-01iloœæ rekordów w tablicy relokacji02kolejne elementy tablicy relokacji; jeden rekord tablicy relokacji zajmuje 8bajtów i ma format:00 typ rekordu00 LOBYTE02 BASE03 PTR05 OFFS0B PTR480D OFFS32 01 flagi rekordubit 2: addytywny 02-03 offset w segmencie04-05 docelowy adres segmentu06-07 docelowy adres offsetuFormat danych zawartych w tablicy zasobów pliku nowy EXE (NE) dla WindowsAdresZawartoœæ00-01Wartoœæ przesuniêcia do dopasowania02Kolejne rekordy zasobów o formacie:00-01 identyfikator0000 koniec rekordów>= 8000h typ INTEGERw przeciwnym wypadku offset wzglêdem pocz¹tku zasobówdo ³añcucha02-03 iloœæ zasobów danego typu04-07 zarezerwowane08 pocz¹tek zasobówFormat danych zawartych w zasobach pliku nowy EXE (NE) dla Windows00-01ofset (w dopasowanych jednostkach) do zawartoœci zasobów02-03rozmiar zasobów w bajtach04-05flagi zasobówbit 4: MOVEABLEbit5:SHAREABLEbit 6: PRELOADED06-07typ zasobów;=8000 zasoby typu Integer08-0BzarezerwowaneFormat tablicy odwo³añ do modu³Ã³w w pliku nowy EXE (NE) dla WindowaAdresZawartoœæ00iloœæ rekordów w paczce (0=koniec tablicy)01znacznik segmentu:00 nie u¿ywany FF MOVEABLE lub FIXED02kolejne rekordy, ka¿dy o formacie:00 flagibit 0: wejœcie jest eksportowanebit 1: wejœcie u¿ywa globalnych (wspó³u¿ywalnych) danychbity 7-3: iloœæ stów parametrów dla segmentu FIXED01-02 ofset dla segmentu MOVEABLE01-02 INT 3F (kod instrukcji: CDh 3Fh)03 numer segmentu05-06 ofsetFormat tablicy nazw rezydentnych/nierezydentnych w pliku nowy EXE (NE) dlaAdresZawartoœæ00d³ugoœæ ³añcucha (00=koniec tablicy)01-N³añcuch ASCIIN+1-N+2numer porz¹dkowy w tablicyWygl¹d zainfekowanego opisan¹ wczeœniej metod¹ pliku EXE przed i po infekcjiprzedstawiony zosta³ w poni¿szych tabelach.Wygl¹d niezainfekowanego pliku NE dla WindowsZawartoœæ plikuprogram STUB dla DOSNag³Ã³wek programu STUBKod programu STUBw³aœciwy program dla Windows:Nag³Ã³wek NETablica segmentówTablice z danymi o zasobachKod programu dla WindowsWygl¹d zainfekowanego pliku NE dla WindowsZawartoœæ plikuprogram STUB dla DOSNag³Ã³wek programu STUBZmniejszony kod programu STUBw³aœciwy program dla Windows zara¿ony wirusem:Nag³Ã³wek NE, cofniêty wzglêdem oryginalnej pozycjiTablica segmentów, cofniêta wzglêdem oryginalnej pozycji, rozszerzona przezwirusa o segment wskazuj¹cy na kod wirusa (na koñcu pliku)Tablice z danymi o zasobachKod programu dla WindowsKod wirusa4.1.3.Pliki zawieraj¹ce sterowniki urz¹dzeñ SYS (BIN, DRV)Pliki SYS zawieraj¹ tzw.sterowniki urz¹dzeñ blokowych lub znakowych, któremog¹ rozszerzaæ mo¿liwoœci systemu DOS.Sterowniki te s¹ ³adowane tylko raz, wmomencie startu systemu, na podstawie poleceñ zawartych w pliku CONFIG.SYS (wWindows 95 tak¿e na podstawie MSDOS.SYS).Do ³adowania sterowników DOSwykorzystuje funkcjê (4B00/21), a wiêc tê sam¹, co w przypadku programów EXE iCOM, jednak dla uruchamianego sterownika nie jest tworzony blok wstêpnyprogramu (PSP).Na pocz¹tku plików typu SYS znajduje siê sformatowany nag³Ã³wek, zawieraj¹cydane dla systemu DOS, który poprzez zawarte w nim informacje mo¿e komunikowaæsiê ze sterownikiem.Format pliku SYS i jego nag³Ã³wka przedstawiono wponi¿szych tabelach.Zawartoœæ pliku SYSZawartoœæNag³Ã³wek pliku SYS (patrz nastêpna tabela)Kod sterownikaFormat nag³Ã³wka pliku SYS00-03WskaŸnik do nastêpnego programu obs³ugi urz¹dzenia, standardowo == 0FFFFFFFFh,co jest sygna³em dla systemu, i¿ plik zawiera tylko 1 sterownik.Gdyby plikzawiera³ wiêcej sterowników, w polu tym by³by zawarty adres kolejnegosterownika w pliku.04-05Atrybuty urz¹dzenia, informuj¹ o przeznaczeniu sterownika06-07Adres procedury strategii (wzglêdem pocz¹tku nag³Ã³wka).Procedura strategiis³u¿y do odebrania pakietu zlecenia od systemu DOS.08-09Adres procedury przerwania (wzglêdem pocz¹tku nag³Ã³wka), która na podstawiepakietu zlecenia, przyjêtego przez procedurê strategii, wykonuje odpowiednieczynnoœci,0A-0FNazwa urz¹dzenia znakowego (8 znaków) lub liczba jednostek dla urz¹dzeniablokowego (1 bajt wykorzystany+7 bajtów rezerwowych)
[ Pobierz całość w formacie PDF ]