Путеводитель по написанию вирусов: 10. Антитуннелинг — Архив WASM.RU

Техники туннелинга также используются антивирусами при инсталляции, и все наши попытки найти оригинальный INT 21h пойдут насмарку, потому что они используют наше собственное оружие. И нам это не нравится. Также нас могут туннелить другие вирусы, что совсем беспонтово. Эта система наша и ничья больше!

Так как антивирусы используют определенные процедуры, чтобы обнаружить не занимается ли кто-нибудь трейсингом, мы можем использовать те же алгоритмы, чтобы бороться против них: они не защищены от нас. Мы используем процедуру, чтобы активировать traр flag для трейсинга... Можем ли мы использовать другую процедуру, чтобы деактивировать ее? Конечно. Это очень просто. Вместо использования OR, чтобы активировать его, для его деактивирования мы должны использовать AND.

Код (Text):

1.  
2.         pushf
3.         pop     ax
4.         and     ah,11111110h
5.         push    ax
6.         popf

Разве это не прекрасно? Мы обламываем тех, кто хочет своровать наш INT 21h. Hо... что если мы захотим узнать, пытается ли кто-нибудь украсть его? Эта процедура взята из этого же туториала из главы о бронировании кода.

Код (Text):

1.  
2.         push    ax
3.         pop     ax
4.         dec     sp
5.         dec     sp
6.         pop     bx
7.         cmp     ax,bx
8.         jz      not_traced
9.         jmр     $                       ; если кто-то трейсит, замораживаем
10.                                         ; процессор
11.  not_traced:
12.         [...]

Эта глава - расширение главы о туннелинге. Поэтому... с этими двумя процедурами плюс немного удачи, вы можете пойти далеко вперед . © Billy Belcebu, пер. Aquila