Анализ фрагмента машинного кода компьютерного вируса

Страницы работы

2 страницы (Word-файл)

Содержание работы

ЛАБОРАТОРНАЯ РАБОТА № 6

Тема: " АНАЛИЗ КОМПЬЮТЕРНЫХ ВИРУСОВ ".

Цель работы:  Получение навыков анализа фрагмента машинного кода

                           компьютерного вируса.

Индивидуальное задание №13: Провести   анализ  листинга фрагмента машинного кода вируса taipan.exe(u cs:016e 01a5).               

Листинг  машинного кода:

 


11B4:016E B448          MOV   AH,48                             

11B4:0170 BB1F00        MOV   BX,001F     выделяет 496 байт памяти                        

11B4:0173 CD21          INT   21                          

11B4:0175 7312          JNB   0189        переход на 11b4:0189,если нет

                                          ошибок при выделении памяти  

                   

11B4:0177 8CD8          MOV   AX,DS                             

11B4:0179 48            DEC   AX        уменьшение на единицу регистра DS                        

11B4:017A 8ED8          MOV   DS,AX    

11B4:017C 8B1E0300      MOV   BX,[0003]  запись в BX содержимого по

                                         адресу DS:[0003]       

11B4:0180 83EB20        SUB   BX,+20     BX-20h

11B4:0183 B44A          MOV   AH,4A      расширение блока памяти, до                        

11B4:0185 CD21          INT   21         размеров, указаннных в BX в

                                         16-тибайтовых параграфах                            

11B4:0187 EBE5          JMP   016E       переход в начало фрагмента                           

                                         машинного кода

11B4:0189 48            DEC   AX         запись в ES регистра AX,                 

11B4:018A 8EC0          MOV   ES,AX      уменьшенного на единицу

11B4:018C 26            ES:                                     

11B4:018D C70601000800  MOV   WORD PTR [0001],0008 запись по адресу

                                                   ES:[0001] числа 8h

11B4:0193 40            INC   AX         запись в ES регистра AX,                                            

11B4:0194 8EC0          MOV   ES,AX      увеличенного на единицу                       

11B4:0196 33FF          XOR   DI,DI      обнуление DI                        

11B4:0198 0E            PUSH  CS         запись кодового сегмента в                        

11B4:0199 1F            POP   DS         сегмент данных                       

11B4:019A B9B601        MOV   CX,01B6    запись в CX числа 01B6(438d)                       

11B4:019D FC            CLD              сброс флага направления DF 

11B4:019E F3            REPZ                побайтная пересылка:                     

11B4:019F A4            MOVSB               DS:SI -> ES:DI, т.е.

                                            фактически пересылка из

                                            CS:SI в начало выделеной                                             памяти

11B4:01A0 06            PUSH  ES           сохранение ES в стеке                     

11B4:01A1 B86000        MOV   AX,0060      запись в AX 60h                     

11B4:01A4 50            PUSH  AX           сохранение AX в стеке                     

11B4:01A5 CB            RETF                                    

Вывод:            В данной лабораторной работе был проведен   анализ  листинга

     фрагмента машинного кода   компьютерного вируса taipan.exe

                         (u cs:016e 01a5), который выделяет блок памяти в 496 байт и

                         записывает в него машинный код из области памяти, которая

              начинается  с адреса DS:SI(CS:SI).

Похожие материалы

Информация о работе