> получится ли просто записать тело вируса в начало файла, а > начало pe-файла записать в конец и при запуске > восстанавливаться? Итак, ты хочешь "склеить" два PE32, при запуске виря винда не грузит весь файл тупо в память, как это делала DOS с файлами *.com. Винда отображает виртуальную память на секции в PE32 в соотв. с той инфой, что прописана в служебных полях PE32 формата. Соответственно, на то, что там после последней секции "доклеено", загрузчику абсолютно пофиг... Т.е. проще дописать доп. секцию в сущ. PE и сделать то, о чём я говорил в предыдущем посте.
Скажите пожалуйста, отличается ли механизм заражения исполняемых файлов в дос и в win?
Что ты имеешь ввиду? Переделывать под win его прийдётся,...30.06.04 10:26 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 01.07.04 09:02 Количество правок: 1
> Скажите пожалуйста, отличается ли механизм заражения > исполняемых файлов в дос и в win? Что ты имеешь ввиду? Переделывать под win его прийдётся, да... ;-)
Форматы разные у DOS exe и у PE32 win... Соответственно, вирьный код прийдётся в внедрять в PE по его законам (читай, формату) — к примеру, добавить секцию, поменять точку входа на код в этой секции, после исполнения прыгнуть в старую точку входа в оригинальной секции. Есть и другие методы. STFW.
ЗЫ: не люблю вирусы, вирусописателей и вообще всё то, что происходит на моём компьютере без моего ведома/воли.
получится ли просто записать тело вируса в начало файла, а...30.06.04 22:38 Автор: int8h Статус: Незарегистрированный пользователь
> > Скажите пожалуйста, отличается ли механизм заражения > > исполняемых файлов в дос и в win? > Что ты имеешь ввиду? Переделывать под win его прийдётся, > да... ;-) > Форматы разные у DOS exe и у PE32 win... Соответственно, > вирьный код прийдётся в внедрять в PE по его законам > (читай, формату) — к примеру, добавить секцию, поменять > точку входа на код в этой секции, после исполнения прыгнуть > в старую точку входа в оригинальной секции. Емть и другие > методы. STFW. > > ЗЫ: не люблю вирусы, вирусописателей и вообще всё т о, что > происходит без моего ведома/воли.
получится ли просто записать тело вируса в начало файла, а начало pe-файла записать в конец и при запуске восстанавливаться?
Наверное нет.01.07.04 07:56 Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 01.07.04 09:05 Количество правок: 1
> получится ли просто записать тело вируса в начало файла, а > начало pe-файла записать в конец и при запуске > восстанавливаться? Итак, ты хочешь "склеить" два PE32, при запуске виря винда не грузит весь файл тупо в память, как это делала DOS с файлами *.com. Винда отображает виртуальную память на секции в PE32 в соотв. с той инфой, что прописана в служебных полях PE32 формата. Соответственно, на то, что там после последней секции "доклеено", загрузчику абсолютно пофиг... Т.е. проще дописать доп. секцию в сущ. PE и сделать то, о чём я говорил в предыдущем посте.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
