Вторник, 27.06.2017, 18:45 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx 
delfcode » Delphi » Вирусология Delphi » C@T заинтересовал...
C@T заинтересовал...
NeoДата: Понедельник, 25.04.2011, 08:01 | Сообщение # 1
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Сообщение (http://delfcode.ru/forum/10-405-1) от c@tа в разделе болтовня меня вообще заинтересовало.Я даже испытал вирус на своём компе.Я просто восхищён!!!!!!Правда возникли некоторые вопросы.Например,я не понял как откомпилированный ассемблерный код представился в виде ($b4, $13, $b9, $0b, $00,и тд.)И при перезагрузки я не увидел сообщение(может потому,что у меня 1 диск разделён на 2 раздела?Хотя,наверное,это глупо...)Расскажите по подробнее об этом вирусе.
 
NeoДата: Понедельник, 25.04.2011, 13:15 | Сообщение # 2
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Хотя я вроде догадался,в константе код из 16 редактора откомпилированной проги,только вот ноликов там боьше......
 
C@TДата: Понедельник, 25.04.2011, 15:20 | Сообщение # 3
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Quote (Neo)
Хотя я вроде догадался,в константе код из 16 редактора откомпилированной проги,только вот ноликов там боьше......

да я так и делал

Quote (Neo)
И при перезагрузки я не увидел сообщение

Хм, странно на виртуалке все работало

подробно могу описать в асю ICQ: 603702296


 
NeoДата: Вторник, 24.05.2011, 17:55 | Сообщение # 4
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
В общем как я ни старался,сколько не тестил,ничего у меня не вышло.То что всё записывается в загрузочный сектор,это я точно проверил!Я думаю проблема в exeшнике(в hex редакторе больше нулевых пар,чем в константе).Я написал загрузчик на fasme
Code
org 07C00h
main:
jmp far 00:entry1
entry1:  
cli  
; запрещаем прерывания
mov ax,cs
mov ds,ax
sti
mov ah,14
xor bl,bl
mov bx,tex
strt:
mov al,[bx]
test al,al
jz exit_
inc bx
int 10h
jmp strt
exit_:
cli
jmp $
tex db 'Hello Piople',0Dh,0
times 510-($-main) db 0 ;заполняем нулевымипарами
db 0xAA, 0x55
Что я делал:
Фасмовский бинарник загнал в winhex,скопировал циферки(Их ровно 512 пар),написал прогу,
чтоб добавляла " ,$ " после
каждой пары цифер.
Потом загнал содержимого получивщегося файла в константу и скомпилил.Всё-равно не получилось!
Кто сделает,так что бы работало,тому в течение недели буду ставить по +)))
 
C@TДата: Вторник, 24.05.2011, 22:24 | Сообщение # 5
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
а зачем писать

jmp far 00:entry1
entry1:

ибо прыгать джампом на следующюю метку нет смысла

ну а вобщем перепилил на тасм

Code
.model tiny
.code
org 7c00h
start:
   cli      
   ; запрещаем прерывания     
   mov ax,cs     
   mov ds,ax     
   sti     
   mov ah,14     
   xor bl,bl     
   mov bx,offset tex     
   strt:     
   mov al,[bx]     
   test al,al     
   jz exit_     
   inc bx     
   int 10h     
   jmp strt     
   exit_:     
   cli     
   jmp $     
   tex db 'Hello Piople',0Dh,0      
   end start


и вот туториал по тому как из ехе сделать образ первичного загрузчика на примере твоего кода

1) компилим
// бб коды имг запрещены поэтому пришлось заменить smile

2) открываем файл и находим в нем код загрузчика


3) создаем новый файл и копируем туда код


4) дописываем нули так чтобы размер файла стал 512 байт и ставим сигнатуру


а для того чтобы сделать из байт константу в делфи можно просто скопировать те байты в текстовый документ и заменить все пробелы на ", $" (без кавычек)

P.S а для генерирования из ехе файла файл образа сразу с вырезаным кодом и добавленной сигнатурой я писал прогу (когда для своей ОС загрузчик писал понадобилось)




Сообщение отредактировал dolphin - Среда, 25.05.2011, 08:23
 
NeoДата: Среда, 25.05.2011, 14:34 | Сообщение # 6
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Всё это,конечно ,логично,но пожалуйста,дайте мне исходник,который покажет это дорогое сообщение!
Хочу,чтоб не просто оса не загружалась,а сообщение!
P.s про +ки я не забыл))).
 
C@TДата: Среда, 25.05.2011, 18:54 | Сообщение # 7
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
это все может не работать на твойом компе из за железа

P.S а анимация тебя устроит ?


 
NeoДата: Четверг, 26.05.2011, 10:39 | Сообщение # 8
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Конечно устроит!(Если будет работать)
 
NeoДата: Воскресенье, 29.05.2011, 09:31 | Сообщение # 9
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
Урраа!!!!!! smile smile smile smile biggrin Получилось!!!!
Вот в чём была проблема! Сигнатура загрузчика 55 аа ,а не наоборот!Вот и вся история!
 
gravitasДата: Воскресенье, 29.05.2011, 09:50 | Сообщение # 10
Авторитетный
Зарегистрирован: 01.05.2010
Группа: Пользователи
Сообщений: 385
Статус: Offline
Хм, а поч у котэ тогда с работало с #aa#55 ?

TheDeduction

Для ускорения получения ответов на ваши вопросы рекомендуется подкармливание в виде +'ов в рейтинг :)
 
delfcode » Delphi » Вирусология Delphi » C@T заинтересовал...
Страница 1 из 11
Поиск:

delfcode.ru © 2008 - 2017 Хостинг от uCoz