Доброго времени суток. Возникли небольшие непонятки по Aztec`у (путеводитель по написанию вирусов для Win32)... Знаю, уже не в первый раз задаю вопросы по этому зверьку, но все-таки хочется разобраться с ним до конца . И так: Код (Text): ;........................................................ @@Namez label byte @FindFirstFileA db "FindFirstFileA",0 @FindNextFileA db "FindNextFileA",0 ;............................................... @UnmapViewOfFile db "UnmapViewOfFile",0 @SetEndOfFile db "SetEndOfFile",0 db 0BBh align dword virus_end label byte ;<------СТР1 heap_start label byte dd 00000000h ;<-----СТР4 NewSize dd 00000000h SearchHandle dd 00000000h ;........................................ NameTableVA dd 00000000h OrdinalTableVA dd 00000000h @@Offsetz label byte _FindFirstFileA dd 00000000h _FindNextFileA dd 00000000h _CreateFileA dd 00000000h ;........................................ _SetEndOfFile dd 00000000h ;<---------СТР2 MAX_PATH equ 260 FILETIME STRUC FT_dwLowDateTime dd ? FT_dwHighDateTime dd ? FILETIME ENDS WIN32_FIND_DATA label byte WFD_dwFileAttributes dd ? WFD_ftCreationTime FILETIME ? WFD_ftLastAccessTime FILETIME ? WFD_ftLastWriteTime FILETIME ? WFD_nFileSizeHigh dd ? WFD_nFileSizeLow dd ? WFD_dwReserved0 dd ? WFD_dwReserved1 dd ? WFD_szFileName db MAX_PATH dup (?) WFD_szAlternateFileName db 13 dup (?) db 03 dup (?) directories label byte WindowsDir db 7Fh dup (00h) SystemDir db 7Fh dup (00h) OriginDir db 7Fh dup (00h) dirs2inf equ (($-directories)/7Fh) mirrormirror db dirs2inf heap_end label byte ;<-------СТР3 ;-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·- ·-·-·; ; Все вышепpиведенное - это данные, используемые виpусом ;) ; ;-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·- ·-·-·; ; Hоситель пеpвого поколения fakehost: ;.....................проверка на первое поколение......................... end aztec Интересует, почему метка конца вируса (СТР1) находится именно там, а не после СТР2 или СТР3... Ведь насколько я понимаю, все то, что ниже СТР1 так же используется вирусом... Короче понятно, что что-то непонятно, а вот что именно-непонятно... )) Объясните плз... ) И для чего нужна СТР4..? Питер Абель дает такое пояснение: Код (Text): [имя] Dn выражение Имя элемента данных не обязательно (это указывается квадратными скобками), но если в программе имеются ссылки на некоторый элемент, то это делается посредством имени. Но а если на этот элемент нет ссылок, тогда для чего его объявлять..? =\ Заранее извиняюсь за ламерские вопросы(стыдно...), и заранее Вам очень благодарен! ) --------------------------------- P.S. Что бы вам не терять драгоценные минуты, сразу даю ссылку на этого зверька: http://www.wasm.ru/article.php?article=vgw04
