Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
| | |
Наверное нет. 01.07.04 07:56 Число просмотров: 1273
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.07.04 09:05 Количество правок: 1
|
> получится ли просто записать тело вируса в начало файла, а
> начало pe-файла записать в конец и при запуске
> восстанавливаться?
Итак, ты хочешь "склеить" два PE32, при запуске виря винда не грузит весь файл тупо в память, как это делала DOS с файлами *.com. Винда отображает виртуальную память на секции в PE32 в соотв. с той инфой, что прописана в служебных полях PE32 формата. Соответственно, на то, что там после последней секции "доклеено", загрузчику абсолютно пофиг... Т.е. проще дописать доп. секцию в сущ. PE и сделать то, о чём я говорил в предыдущем посте.
И всё-таки STFW!
|
|
<beginners>
|
Скажите пожалуйста, отличается ли механизм заражения... 30.06.04 08:37
Автор: int8h Статус: Незарегистрированный пользователь
|
|
Скажите пожалуйста, отличается ли механизм заражения исполняемых файлов в дос и в win?
|
|
Что ты имеешь ввиду? Переделывать под win его прийдётся,... 30.06.04 10:26
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.07.04 09:02 Количество правок: 1
|
> Скажите пожалуйста, отличается ли механизм заражения
> исполняемых файлов в дос и в win?
Что ты имеешь ввиду? Переделывать под win его прийдётся, да... ;-)
Форматы разные у DOS exe и у PE32 win... Соответственно, вирьный код прийдётся в внедрять в PE по его законам (читай, формату) — к примеру, добавить секцию, поменять точку входа на код в этой секции, после исполнения прыгнуть в старую точку входа в оригинальной секции. Есть и другие методы. STFW.
ЗЫ: не люблю вирусы, вирусописателей и вообще всё то, что происходит на моём компьютере без моего ведома/воли.
|
| |
получится ли просто записать тело вируса в начало файла, а... 30.06.04 22:38
Автор: int8h Статус: Незарегистрированный пользователь
|
> > Скажите пожалуйста, отличается ли механизм заражения
> > исполняемых файлов в дос и в win?
> Что ты имеешь ввиду? Переделывать под win его прийдётся,
> да... ;-)
> Форматы разные у DOS exe и у PE32 win... Соответственно,
> вирьный код прийдётся в внедрять в PE по его законам
> (читай, формату) — к примеру, добавить секцию, поменять
> точку входа на код в этой секции, после исполнения прыгнуть
> в старую точку входа в оригинальной секции. Емть и другие
> методы. STFW.
>
> ЗЫ: не люблю вирусы, вирусописателей и вообще всё т о, что
> происходит без моего ведома/воли.
получится ли просто записать тело вируса в начало файла, а начало pe-файла записать в конец и при запуске восстанавливаться?
|
| | |
Наверное нет. 01.07.04 07:56
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 01.07.04 09:05 Количество правок: 1
|
> получится ли просто записать тело вируса в начало файла, а
> начало pe-файла записать в конец и при запуске
> восстанавливаться?
Итак, ты хочешь "склеить" два PE32, при запуске виря винда не грузит весь файл тупо в память, как это делала DOS с файлами *.com. Винда отображает виртуальную память на секции в PE32 в соотв. с той инфой, что прописана в служебных полях PE32 формата. Соответственно, на то, что там после последней секции "доклеено", загрузчику абсолютно пофиг... Т.е. проще дописать доп. секцию в сущ. PE и сделать то, о чём я говорил в предыдущем посте.
И всё-таки STFW!
|
|
|
подробно о проекте
Анализ криптографических сетевых...
