Как работают роботы-убийцы
Xakep, номер #042, стр. 042-046-1
Технологии вирмейкерства
sl0n (bigafroelephant@mail.ru)
Ты откуда журнал читаешь? С начала или с конца? Ну, т.е. ты сегодня начал с извратов Данечки или с техноудара Алекса Целых? Ладно, это все неважно на самом деле :). Мы поговорим о другом, о том, как вирусы прячутся от людей и антивирусных программ. И вообще, что они могут, эти вирусы, а главное - как?
Прятаться и бояться
Одними из самых первых маскировочных механизмов вирусов был "неполный стэлс механизм", т.е. когда либо пользователь, либо программа обращались к зараженному файлу, а вирус резидентный (который постоянно находится в памяти как бы в спящем состоянии) просыпался и изменял информацию о размере файла на старый размер файла, как будто вирусного тела там и не было.
Но если заглянуть внутрь файла, то вирусное тело, как и положено, будет на месте, что и позволяет его удалить.
Позже появились вирусы, основанные на так называемой технологии "полный стэлс". Данная технология заключалось в том, что вирус, как и в предыдущем примере, будучи резидентным, отлавливал Дос функции чтения или изменения файла и, перед тем как передать управление Досу, он вначале удалял вирусное тело. И когда пользователь или антивирусная программа смотрели файл, то вируса там уже не было, а перед закрытием та часть вируса, что была в памяти, опять заражала файл. Вот поэтому вирусы с такой технологией маскировки было очень сложно обнаружить.
Но Дос уже практически умер, и потому стэлс вири не очень распространены, т.к. создание стэлс вируса, полноценно работающего под Windows, под силу далеко не каждому вирмейкеру. Сейчас довольно распространены вири, которые используют для маскировки антиэвристические механизмы и "мутационные" технологии aka полиморфизм.
Бороться и сражаться
И так на что же рассчитаны антиэвристические приемы? Конечно же, на обман антивирусных программ! Чтобы узнать, как эти приемы работают, давай разберемся с тем, как работают эвристические анализаторы в антивирусах.
Если у тебя в программе есть поиск (Дос функция 4eh) по маске *.exe и в этой же программе есть функция записи (Дос функция 40h), то с какой-то долей уверенности можно сказать, что в файле гнездится вирус. Вот это и есть механизм работы анализатора кода. Но анализатор сам по себе не работает, он работает в паре с эмулятором кода. Эмулятор кода необходим для обнаружения шифрующихся вирусов (полиморфных), он эмулирует работу процессора и пытается псевдоисполнить файл. В то время как он псевдоисполняет файл, анализатор ищет подозрительные мнемоники кода. Обычно антиэвристические приемы строятся либо на обмане эмулятора, либо на обмане анализатора.
Начнем с эмулятора. Есть возможность обмана на стадии эмуляции процессора, когда процессор имеет какие-то ошибки, и в реальной жизни команды будут выполняться не так, как при эмуляции.
Рассмотрим пример:
;--------------------------
xor ax,ax
sahf
lahf ; ax=2
xchg al,ah
add ax,5
call $+3
pop si
add si,ax
jmp si
mov bl,56h
;---------------------------
На самом деле, т.е. в реальных условиях, этот код процессором не выполнится. А вот при эмуляции антивирусом выполнится, т.е. если bx - ключ расшифровщика, то антивирус никогда не сможет правильно расшифровать вирус.
