[ Pobierz całość w formacie PDF ]
.Format nag³Ã³wka pliku nowy EXE (NE) dla Windows pokazano poni¿ej.Format nag³Ã³wka plików nowy EXE (NE) dla WindowsAdresZawartoœæ00-01znacznik pliku, bajty 'NE'02-03numer wersji programu linkuj¹cego (najpierw bardziej znacz¹ca, potem mniejznacz¹ca czêœæ)04-05offset wzglêdem pocz¹tku nag³Ã³wka do tablicy wejœæ; format tablicy wejœæ jestnastêpuj¹cy 00 liczba wejœæ (00, je¿eli koniec listy)01 numer segmentu (00, je¿eli koniec listy)02 pierwszy rekord05 drugi rekord.Ka¿dy rekord ma format00 flagi:bit 0: EXPORTEDbit 1: SINGLE DATAbity 2-7: nie u¿ywane01-02 ofset w segmencie06-07d³ugoœæ (w bajtach) tablicy wejœæ08-0Bkod korekcyjny (CRC) pliku0Cflagi programu; znaczenie poszczególnych bitów0-1 DGROUP0 = nie ma1 = SINGLE SHARED2 = MULTIPLE (UNSHARED)3 = (NULL)2 bit globalnej inicjalizacji3 program tylko dla trybu chronionego4 program zawiera instrukcje 80865 program zawiera instrukcje 802866 program zawiera instrukcje 803867 program zawiera instrukcje 80x870Dflagi aplikacji; znaczenie poszczególnych bitów:0-2 typ aplikacji001 pe³noekranowa (bez Windows AP! dla trybu chronionego)010 kompatybilna z Windows API dla trybu chronionego011 u¿ywa Windows API dla trybu chronionego 3 aplikacja przeznaczona dla OS/25 0=wykonywalna, 1=b³êdy w obrazie pliku6 niezgodny typ programu (stos nie jest zachowywany)7 plik DLL lub sterownik(SS:SP: z³e wartoœci, CS:IP wskazuje na procedurê incjalizacji typu FAR,wywo³ywan¹ z AX=uchwyt do modu³u, zwracaj¹ca AX=0 b³¹d lub AX0 poprawnainicjalizacja)0E-0Findeks do segmentu danych typu AUTODATA 10-11 inicjalny rozmiar stertylokalnej12-13inicjalny rozmiar stosu, dodany do segmentu danych lub 0000h, gdy DS=SS14-17wejœcie do programu (CS:IP), CS oznacza indeks w tablicy segmentów18-1Bdaleki wskaŸnik na stos programu (SS:SP), SS oznacza indeks w tablicysegmentów; je¿eli SS jest typu autodata i SP=OOOOh, wskaŸnik stosu ustawianyjest na koñcu segmentu danych typu AUTODATA, pod stert¹ lokaln¹1C-1Diloœæ segmentów 1 E-1 F iloœæ odwo³añ do modu³Ã³w20-21d³ugoœæ (w bajtach) nierezydentnej tablicy nazw22-23offset wzglêdem pocz¹tku nag³Ã³wka do tablicy segmentów, sk³adaj¹cej siê zrekordów o formacie (pierwszy rekord ma numer 1):00-01 ofset w pliku (trzeba przesun¹æ o wartoœæ z pola 32-3nag³Ã³wka, aby uzyskaæ adres w bajtach)02-03 d³ugoœæ obrazu pliku (0000h=64K)04-05 atrybuty segmentu0 segment danych1 nie u¿ywane2 REALMODE3 ITERATED4 MOVABLE5 SHARABLE6 PRELOADED7 EXECUTE-CODE (kod) lub READ-ONLY (dane)8 relokacje (bezpoœrednio po kodzie w segmencie)9 istniej¹ informacje dla debuggera10,11 bity DPL dla 8028612 DISCARDABLE13-15 DISCARD PRIORITY06-07 iloœæ bajtów do zaatakowania dla segmentu (0000h = 64K)24-25offset wzglêdem pocz¹tku nag³Ã³wka do tablicy zasobów26-27offset wzglêdem pocz¹tku nag³Ã³wka do tablicy nazw rezydentnych28-29offset wzglêdem pocz¹tku nag³Ã³wka do tablicy odwo³añ do modu³Ã³w2A-2Boffset wzglêdem pocz¹tku nag³Ã³wka do tablicy nazw importowanych (tablica³añcuchów typu string, zakoñczona ³añcuchem o d³ugoœci 0)2C-2Foffset wzglêdem pocz¹tku nag³Ã³wka do tablicy nazw nierezydentnych30-31iloœæ ruchomych punktów wejœciowych zawartych w tablicy wejœæ32-33wyrównanie strony (0=9 strona o rozmiarze 2 shl 9=512 bajtów)34-35iloœæ wejœæ do tablic zasobów36docelowy system operacyjny00h nieznany01h OS/202h Windows03h Europejska wersja MS-DOS 4.x04h Windows 38605h BOSS (Borland Operating System Services)81h PharLap 286IDOS-Extender, OS/282h PharLap 286IDOS-Extender, Windows37dodatkowe flagi programu0 u¿ywa d³ugich nazw plików1 tryb chroniony 2.X2 proporcjonalna czcionka 2.X3 0=gangload: nie ma, 1=gangload: jest38-39offset do strefy gangload3A-3Boffset do segmentu odwo³añi do strefy gangload3C-3Dminimalny rozmiar kodu wymienialnego3E-3Fspodziewana wersja systemu Windows (mniej znacz¹ca czêœæ jako pierwsza,bardziej znacz¹ca czêœæ jako druga)Format tablicy relokacji pliku nowy EXE (NE) dla WindowsAdresZawartoœæ00-01iloœæ rekordów w tablicy relokacji02kolejne elementy tablicy relokacji; jeden rekord tablicy relokacji zajmuje 8bajtów i ma format:00 typ rekordu00 LOBYTE02 BASE03 PTR05 OFFS0B PTR480D OFFS32 01 flagi rekordubit 2: addytywny 02-03 offset w segmencie04-05 docelowy adres segmentu06-07 docelowy adres offsetuFormat danych zawartych w tablicy zasobów pliku nowy EXE (NE) dla WindowsAdresZawartoœæ00-01Wartoœæ przesuniêcia do dopasowania02Kolejne rekordy zasobów o formacie:00-01 identyfikator0000 koniec rekordów>= 8000h typ INTEGERw przeciwnym wypadku offset wzglêdem pocz¹tku zasobówdo ³añcucha02-03 iloœæ zasobów danego typu04-07 zarezerwowane08 pocz¹tek zasobówFormat danych zawartych w zasobach pliku nowy EXE (NE) dla Windows00-01ofset (w dopasowanych jednostkach) do zawartoœci zasobów02-03rozmiar zasobów w bajtach04-05flagi zasobówbit 4: MOVEABLEbit5:SHAREABLEbit 6: PRELOADED06-07typ zasobów;=8000 zasoby typu Integer08-0BzarezerwowaneFormat tablicy odwo³añ do modu³Ã³w w pliku nowy EXE (NE) dla WindowaAdresZawartoœæ00iloœæ rekordów w paczce (0=koniec tablicy)01znacznik segmentu:00 nie u¿ywany FF MOVEABLE lub FIXED02kolejne rekordy, ka¿dy o formacie:00 flagibit 0: wejœcie jest eksportowanebit 1: wejœcie u¿ywa globalnych (wspó³u¿ywalnych) danychbity 7-3: iloœæ stów parametrów dla segmentu FIXED01-02 ofset dla segmentu MOVEABLE01-02 INT 3F (kod instrukcji: CDh 3Fh)03 numer segmentu05-06 ofsetFormat tablicy nazw rezydentnych/nierezydentnych w pliku nowy EXE (NE) dlaAdresZawartoœæ00d³ugoœæ ³añcucha (00=koniec tablicy)01-N³añcuch ASCIIN+1-N+2numer porz¹dkowy w tablicyWygl¹d zainfekowanego opisan¹ wczeœniej metod¹ pliku EXE przed i po infekcjiprzedstawiony zosta³ w poni¿szych tabelach.Wygl¹d niezainfekowanego pliku NE dla WindowsZawartoœæ plikuprogram STUB dla DOSNag³Ã³wek programu STUBKod programu STUBw³aœciwy program dla Windows:Nag³Ã³wek NETablica segmentówTablice z danymi o zasobachKod programu dla WindowsWygl¹d zainfekowanego pliku NE dla WindowsZawartoœæ plikuprogram STUB dla DOSNag³Ã³wek programu STUBZmniejszony kod programu STUBw³aœciwy program dla Windows zara¿ony wirusem:Nag³Ã³wek NE, cofniêty wzglêdem oryginalnej pozycjiTablica segmentów, cofniêta wzglêdem oryginalnej pozycji, rozszerzona przezwirusa o segment wskazuj¹cy na kod wirusa (na koñcu pliku)Tablice z danymi o zasobachKod programu dla WindowsKod wirusa4.1.3.Pliki zawieraj¹ce sterowniki urz¹dzeñ SYS (BIN, DRV)Pliki SYS zawieraj¹ tzw.sterowniki urz¹dzeñ blokowych lub znakowych, któremog¹ rozszerzaæ mo¿liwoœci systemu DOS.Sterowniki te s¹ ³adowane tylko raz, wmomencie startu systemu, na podstawie poleceñ zawartych w pliku CONFIG.SYS (wWindows 95 tak¿e na podstawie MSDOS.SYS) [ Pobierz caÅ‚ość w formacie PDF ]