Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Нужна помощь в чтении дерева каталогов через функции BIOS'a 02.06.01 10:25
Автор: Mike Delinger Статус: Незарегистрированный пользователь
|
Требуется помощь в написании программы которая читает дерево каталогов двумя способами, через ДОСовские функции и через BIOS, нужна она для отлова стелса который перехватывает прерывания ДОСа и подменяет длину файлов, сие можно проверить проверяя размеры файлов через биос и дос и при расхождении сказать "Возможно запущен активный стелс"
P.S. Желательно на С
|
|
<без заголовка> 02.06.01 14:45
Автор: XR <eXtremal Research> Статус: The Elderman
|
> Требуется помощь в написании программы которая читает
> дерево каталогов двумя способами, через ДОСовские функции и
> через BIOS, нужна она для отлова стелса который
> перехватывает прерывания ДОСа и подменяет длину файлов, сие
> можно проверить проверяя размеры файлов через биос и дос и
> при расхождении сказать "Возможно запущен активный стелс"
Обычно это делается немного не так:
Задача сводится к поиску настоящей (оригинальной) точки входа в DOS и работой через нее...
а разбирать файловую систему напрямую, да еще через функции BIOS, которые
перехватить не сложней чем int 21h это сложно и неэффективно ...
> P.S. Желательно на С
|
| |
<без заголовка> 02.06.01 16:54
Автор: :-) <:-)> Статус: Elderman
Отредактировано 02.06.01 17:01 Количество правок: 1
|
> Обычно это делается немного не так:
>
> Задача сводится к поиску настоящей (оригинальной) точки
> входа в DOS и работой через нее...
>
IMHO как раз этот способ не эффективен: вирус может вставить в первые команды настоящего (оригинального) обработчика DOS переход на свой код...
А обработчик BIOS пропатчить проблематично :))
> а разбирать файловую систему напрямую, да еще через функции
> BIOS, которые
> перехватить не сложней чем int 21h это сложно и
> неэффективно ...
Правильно, лучше читать не через BIOS, а через порты :)
|
| | |
<без заголовка> 02.06.01 17:41
Автор: XR <eXtremal Research> Статус: The Elderman
Отредактировано 02.06.01 17:42 Количество правок: 1
|
> > Обычно это делается немного не так:
> >
> > Задача сводится к поиску настоящей (оригинальной)
> точки
> > входа в DOS и работой через нее...
> >
> IMHO как раз этот способ не эффективен: вирус может
> вставить в первые команды настоящего (оригинального)
> обработчика DOS переход на свой код...
> А обработчик BIOS пропатчить проблематично :))
>
> > а разбирать файловую систему напрямую, да еще через
> функции
> > BIOS, которые
> > перехватить не сложней чем int 21h это сложно и
> > неэффективно ...
>
> Правильно, лучше читать не через BIOS, а через порты :)
Все так ... просто нужно правильно расставить приоритеты сложности задач...
ImHO снести систему нафиг, влепив ошибку в разбор структуры FS куда проще
чем при трассировке int21h - чем кстати и ловятся правки вирусом кода DOS ...
ну разве что сам вирус всажен в код DOS а часть вытесненного кода DOS вынесена в другое место ... в любом случае пытаться поймать "живой" вирус в RAM это
core war в чистом виде ;)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
