ЛАБОРАТОРНАЯ РАБОТА № 6
Тема: " АНАЛИЗ КОМПЬЮТЕРНЫХ ВИРУСОВ ".
Цель работы: Получение навыков анализа фрагмента машинного кода
компьютерного вируса.
Индивидуальное задание №13: Провести анализ листинга фрагмента машинного кода вируса taipan.exe(u cs:016e 01a5).
Листинг машинного кода:
 |
11B4:0170 BB1F00 MOV BX,001F выделяет 496 байт памяти
11B4:0173 CD21 INT 21
11B4:0175 7312 JNB 0189 переход на 11b4:0189,если нет
ошибок при выделении памяти
11B4:0177 8CD8 MOV AX,DS
11B4:0179 48 DEC AX уменьшение на единицу регистра DS
11B4:017A 8ED8 MOV DS,AX
11B4:017C 8B1E0300 MOV BX,[0003] запись в BX содержимого по
адресу DS:[0003]
11B4:0180 83EB20 SUB BX,+20 BX-20h
11B4:0183 B44A MOV AH,4A расширение блока
памяти, до
11B4:0185 CD21 INT 21 размеров, указаннных в BX в
16-тибайтовых параграфах
11B4:0187 EBE5 JMP 016E переход в начало фрагмента
машинного кода
11B4:0189 48 DEC AX запись в ES регистра AX,
11B4:018A 8EC0 MOV ES,AX уменьшенного на единицу
11B4:018C 26 ES:
11B4:018D C70601000800 MOV WORD PTR [0001],0008 запись по адресу
ES:[0001] числа 8h
11B4:0193 40 INC AX запись в ES регистра AX,
11B4:0194 8EC0 MOV ES,AX увеличенного на единицу
11B4:0196 33FF XOR DI,DI обнуление DI
11B4:0198 0E PUSH CS запись кодового
сегмента в
11B4:0199 1F POP DS сегмент данных
11B4:019A B9B601 MOV CX,01B6 запись в CX числа 01B6(438d)
11B4:019D FC CLD сброс флага направления DF
11B4:019E F3 REPZ побайтная пересылка:
11B4:019F A4 MOVSB DS:SI -> ES:DI, т.е.
фактически пересылка из
CS:SI в начало выделеной памяти
11B4:01A0 06 PUSH ES сохранение ES в стеке
11B4:01A1 B86000 MOV AX,0060 запись в AX 60h
11B4:01A4 50 PUSH AX сохранение AX в стеке
11B4:01A5 CB RETF
Вывод: В данной лабораторной работе был проведен анализ листинга
фрагмента машинного кода компьютерного вируса taipan.exe
(u cs:016e 01a5), который выделяет блок памяти в 496 байт и
записывает в него машинный код из области памяти, которая
начинается с адреса DS:SI(CS:SI).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
