Assembly Virüsler ve işleyişleri!

Volatile. · 09-07-2009, 20:30

Merhabalar,

Assembly ve virüs işleyişleri hakkında yazacağım,
Assembly'de kısaca bir infector algoritması yazalım:

1 - Virüs hafızaya al ve yeterli yer ayır
2 - Dosya ara (*.com, *exe)
3 - Dosya bulunmazsa 100h adlı adrese git *.COM dizinidir.
4 - Eğer bulduysan db 'command.com', 0 komutu veya başka bir komutla bu bölgeyi bul sil ve bulaş
5 - Ekrana virüs hakkında verileri yaz
6 - Offset değerleri wordler vs...

Neden Assembly?

Çünkü assembly donanım dili gibidir. Belleğe erişiminiz ve BIOS'a yazma erişiminiz bile sistem modu ayarlama ile mümkün olur!!

Peki assembly sadece böyle virüsler mi yazılır?

- Cevap, hayır

Dünyanın en ünlü virüslerinin bazı dosyaları bile sırf assembly'dir(c ile yazılmış olanlardan bahsediyorum)

Zaten en iyiside gene assembly'nin avantıjan yazdırılmış ve CIH adını dünyaya duyurmuştur.
CIH'ın algoritması şöyle idi:

İlk başta kendini IFSMgr_Ring3_FileIO modu ile uygulama moduna erişip burada gerekli verileri ve çöpleri istenilen adres ve offsetlere yerleştiriyordu. Ardından sabit disk numaraları için ayarlar yapıyor ve virüsü mbr üzerine yazıyor!

Yazarın kafasındaki temel algoritması şu olsa gerek
MBR virüsleri format yoluyla silinebiliyor ben asıl sistemi buna bağlayanı yani bios'u sileyim diye düşünmüştür(NOT = Bugünkü sistemle bu imkansız zaten virüs orda kendine yeterli alan bulamaz)

İkinci aşamada Ring_2 modunda ise okuma yazma modunda! Yanlız bu işlem dışardan içe çekirdeğe doğru gerçekleşir

Uygulama verileri direkman istenilen segmentlere ve offsetlere dağıtılır

Üçüncü aşamada Ring_1 modunda ise okuma yazma işlemleri bitmiş artık virüs hafızada yerini almıştır ve çekirdeğe ulaşıp Ring_1 tüm kabuk ve sisteme yazma haklarını vermektedir!

İlk işlem => Hardiskler
İkinci işlem => BIOS
Üçüncü işlem => Ekrana mesaj yaz
4. zaten virüsün tipik algoritması son olarak kendi verileri ayarlar vs(Aktif olacağı zaman)

Not = Virüs zamanını sistem saatinden öğrenmektedir!
Not = İlk sabit disk hedef neden diye sorarsanız ilk biosu silseydi sabit diske virüs kendi erişimini sağlayamazdı.!!!

Daha fazla virüs ve assembly algoritması için derslere bakınız.... Bu örnekti benim tarafımdan yazılmıştır
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=292408
Diğer virüsler içinde algoritma anlatımı olacaktır(Assembly olanlar)

dark_scientist · 08-03-2010, 20:54

eywallah........iştahım kabardı....

09-07-2009, 20:30	#1
Volatile. Daimi Üye Kayıt Tarihi: Nov 2008 Üye numarası: #277831 Yer: Ankara Mesaj sayısı: 660 Karma etkisi: 2416 Karma: 241202	Assembly Virüsler ve işleyişleri! Merhabalar, Assembly ve virüs işleyişleri hakkında yazacağım, Assembly'de kısaca bir infector algoritması yazalım: 1 - Virüs hafızaya al ve yeterli yer ayır 2 - Dosya ara (.com, exe) 3 - Dosya bulunmazsa 100h adlı adrese git *.COM dizinidir. 4 - Eğer bulduysan db 'command.com', 0 komutu veya başka bir komutla bu bölgeyi bul sil ve bulaş 5 - Ekrana virüs hakkında verileri yaz 6 - Offset değerleri wordler vs... Neden Assembly? Çünkü assembly donanım dili gibidir. Belleğe erişiminiz ve BIOS'a yazma erişiminiz bile sistem modu ayarlama ile mümkün olur!! Peki assembly sadece böyle virüsler mi yazılır? - Cevap, hayır Dünyanın en ünlü virüslerinin bazı dosyaları bile sırf assembly'dir(c ile yazılmış olanlardan bahsediyorum) Zaten en iyiside gene assembly'nin avantıjan yazdırılmış ve CIH adını dünyaya duyurmuştur. CIH'ın algoritması şöyle idi: İlk başta kendini IFSMgr_Ring3_FileIO modu ile uygulama moduna erişip burada gerekli verileri ve çöpleri istenilen adres ve offsetlere yerleştiriyordu. Ardından sabit disk numaraları için ayarlar yapıyor ve virüsü mbr üzerine yazıyor! Yazarın kafasındaki temel algoritması şu olsa gerek MBR virüsleri format yoluyla silinebiliyor ben asıl sistemi buna bağlayanı yani bios'u sileyim diye düşünmüştür(NOT = Bugünkü sistemle bu imkansız zaten virüs orda kendine yeterli alan bulamaz) İkinci aşamada Ring_2 modunda ise okuma yazma modunda! Yanlız bu işlem dışardan içe çekirdeğe doğru gerçekleşir Uygulama verileri direkman istenilen segmentlere ve offsetlere dağıtılır Üçüncü aşamada Ring_1 modunda ise okuma yazma işlemleri bitmiş artık virüs hafızada yerini almıştır ve çekirdeğe ulaşıp Ring_1 tüm kabuk ve sisteme yazma haklarını vermektedir! İlk işlem => Hardiskler İkinci işlem => BIOS Üçüncü işlem => Ekrana mesaj yaz 4. zaten virüsün tipik algoritması son olarak kendi verileri ayarlar vs(Aktif olacağı zaman) Not = Virüs zamanını sistem saatinden öğrenmektedir! Not = İlk sabit disk hedef neden diye sorarsanız ilk biosu silseydi sabit diske virüs kendi erişimini sağlayamazdı.!!! Daha fazla virüs ve assembly algoritması için derslere bakınız.... Bu örnekti benim tarafımdan yazılmıştır Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=292408 Diğer virüsler içinde algoritma anlatımı olacaktır(Assembly olanlar)

Konu Araçları	Bu Konuda Ara
Printer Çıktısını Göster Sayfayı Emaille Yolla	Bu Konuda Ara: Gelişmiş Arama

08-03-2010, 20:54	#2
dark_scientist Forum Kalfası Kayıt Tarihi: Nov 2005 Üye numarası: #38182 Yer: le gök arasında bir yerlerde... Mesaj sayısı: 2,175 Karma etkisi: 9309 Karma: 930034	eywallah........iştahım kabardı....

Şu Anda Konuyu Görüntüleyenler: 1 (0 üye ve 1 misafir)