Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
<без заголовка> 02.06.01 14:45 Число просмотров: 697
Автор: XR <eXtremal Research> Статус: The Elderman
|
> Требуется помощь в написании программы которая читает > дерево каталогов двумя способами, через ДОСовские функции и > через BIOS, нужна она для отлова стелса который > перехватывает прерывания ДОСа и подменяет длину файлов, сие > можно проверить проверяя размеры файлов через биос и дос и > при расхождении сказать "Возможно запущен активный стелс"
Обычно это делается немного не так:
Задача сводится к поиску настоящей (оригинальной) точки входа в DOS и работой через нее...
а разбирать файловую систему напрямую, да еще через функции BIOS, которые
перехватить не сложней чем int 21h это сложно и неэффективно ...
> P.S. Желательно на С
|
<programming>
|
Нужна помощь в чтении дерева каталогов через функции BIOS'a 02.06.01 10:25
Автор: Mike Delinger Статус: Незарегистрированный пользователь
|
Требуется помощь в написании программы которая читает дерево каталогов двумя способами, через ДОСовские функции и через BIOS, нужна она для отлова стелса который перехватывает прерывания ДОСа и подменяет длину файлов, сие можно проверить проверяя размеры файлов через биос и дос и при расхождении сказать "Возможно запущен активный стелс"
P.S. Желательно на С
|
|
<без заголовка> 02.06.01 14:45
Автор: XR <eXtremal Research> Статус: The Elderman
|
> Требуется помощь в написании программы которая читает > дерево каталогов двумя способами, через ДОСовские функции и > через BIOS, нужна она для отлова стелса который > перехватывает прерывания ДОСа и подменяет длину файлов, сие > можно проверить проверяя размеры файлов через биос и дос и > при расхождении сказать "Возможно запущен активный стелс"
Обычно это делается немного не так:
Задача сводится к поиску настоящей (оригинальной) точки входа в DOS и работой через нее...
а разбирать файловую систему напрямую, да еще через функции BIOS, которые
перехватить не сложней чем int 21h это сложно и неэффективно ...
> P.S. Желательно на С
|
| |
<без заголовка> 02.06.01 16:54
Автор: :-) <:-)> Статус: Elderman Отредактировано 02.06.01 17:01 Количество правок: 1
|
> Обычно это делается немного не так: > > Задача сводится к поиску настоящей (оригинальной) точки > входа в DOS и работой через нее... > IMHO как раз этот способ не эффективен: вирус может вставить в первые команды настоящего (оригинального) обработчика DOS переход на свой код...
А обработчик BIOS пропатчить проблематично :))
> а разбирать файловую систему напрямую, да еще через функции > BIOS, которые > перехватить не сложней чем int 21h это сложно и > неэффективно ...
Правильно, лучше читать не через BIOS, а через порты :)
|
| | |
<без заголовка> 02.06.01 17:41
Автор: XR <eXtremal Research> Статус: The Elderman Отредактировано 02.06.01 17:42 Количество правок: 1
|
> > Обычно это делается немного не так: > > > > Задача сводится к поиску настоящей (оригинальной) > точки > > входа в DOS и работой через нее... > > > IMHO как раз этот способ не эффективен: вирус может > вставить в первые команды настоящего (оригинального) > обработчика DOS переход на свой код... > А обработчик BIOS пропатчить проблематично :)) > > > а разбирать файловую систему напрямую, да еще через > функции > > BIOS, которые > > перехватить не сложней чем int 21h это сложно и > > неэффективно ... > > Правильно, лучше читать не через BIOS, а через порты :)
Все так ... просто нужно правильно расставить приоритеты сложности задач...
ImHO снести систему нафиг, влепив ошибку в разбор структуры FS куда проще
чем при трассировке int21h - чем кстати и ловятся правки вирусом кода DOS ...
ну разве что сам вирус всажен в код DOS а часть вытесненного кода DOS вынесена в другое место ... в любом случае пытаться поймать "живой" вирус в RAM это
core war в чистом виде ;)
|
|
|