Как работают роботы-убийцы

Xakep, номер #042, стр. 042-046-1

Технологии вирмейкерства

sl0n (bigafroelephant@mail.ru)

Ты откуда журнал читаешь? С начала или с конца? Ну, т.е. ты сегодня начал с извратов Данечки или с техноудара Алекса Целых? Ладно, это все неважно на самом деле :). Мы поговорим о другом, о том, как вирусы прячутся от людей и антивирусных программ. И вообще, что они могут, эти вирусы, а главное - как?

Прятаться и бояться

Одними из самых первых маскировочных механизмов вирусов был "неполный стэлс механизм", т.е. когда либо пользователь, либо программа обращались к зараженному файлу, а вирус резидентный (который постоянно находится в памяти как бы в спящем состоянии) просыпался и изменял информацию о размере файла на старый размер файла, как будто вирусного тела там и не было.

Но если заглянуть внутрь файла, то вирусное тело, как и положено, будет на месте, что и позволяет его удалить.

Позже появились вирусы, основанные на так называемой технологии "полный стэлс". Данная технология заключалось в том, что вирус, как и в предыдущем примере, будучи резидентным, отлавливал Дос функции чтения или изменения файла и, перед тем как передать управление Досу, он вначале удалял вирусное тело. И когда пользователь или антивирусная программа смотрели файл, то вируса там уже не было, а перед закрытием та часть вируса, что была в памяти, опять заражала файл. Вот поэтому вирусы с такой технологией маскировки было очень сложно обнаружить.

Но Дос уже практически умер, и потому стэлс вири не очень распространены, т.к. создание стэлс вируса, полноценно работающего под Windows, под силу далеко не каждому вирмейкеру. Сейчас довольно распространены вири, которые используют для маскировки антиэвристические механизмы и "мутационные" технологии aka полиморфизм.

Бороться и сражаться

И так на что же рассчитаны антиэвристические приемы? Конечно же, на обман антивирусных программ! Чтобы узнать, как эти приемы работают, давай разберемся с тем, как работают эвристические анализаторы в антивирусах.

Если у тебя в программе есть поиск (Дос функция 4eh) по маске *.exe и в этой же программе есть функция записи (Дос функция 40h), то с какой-то долей уверенности можно сказать, что в файле гнездится вирус. Вот это и есть механизм работы анализатора кода. Но анализатор сам по себе не работает, он работает в паре с эмулятором кода. Эмулятор кода необходим для обнаружения шифрующихся вирусов (полиморфных), он эмулирует работу процессора и пытается псевдоисполнить файл. В то время как он псевдоисполняет файл, анализатор ищет подозрительные мнемоники кода. Обычно антиэвристические приемы строятся либо на обмане эмулятора, либо на обмане анализатора.

Начнем с эмулятора. Есть возможность обмана на стадии эмуляции процессора, когда процессор имеет какие-то ошибки, и в реальной жизни команды будут выполняться не так, как при эмуляции.

Рассмотрим пример:

;--------------------------

xor ax,ax

sahf

lahf ; ax=2

xchg al,ah

add ax,5

call $+3

pop si

add si,ax

jmp si

mov bl,56h

;---------------------------

На самом деле, т.е. в реальных условиях, этот код процессором не выполнится. А вот при эмуляции антивирусом выполнится, т.е. если bx - ключ расшифровщика, то антивирус никогда не сможет правильно расшифровать вирус.

Содержание  Вперед на стр. 042-046-2

ttfb: 4.594087600708 ms