Исследование вирусных и антивирусных технологий
Switch branches/tags
Nothing to show
Clone or download
Fetching latest commit…
Cannot retrieve the latest commit at this time.
Permalink
Failed to load latest commit information.
LICENSE
README.md
arch.asm
arch.bat
getapi.asm
getapi.bat
gethash.asm
gethash.bat
hookapi.asm
hookapi.bat
infect.asm
infect.bat
infect.crypt.asm
infect.jmp.asm
infect.mezo.asm
infect.sec.asm
nop.asm
nop.bat

README.md

nop-virus

Исследование вирусных и антивирусных технологий. Используется TASM для Win32 (Windows 95/98).

Содержание:

  • запаковка/распаковка вирусного кода методом XOR, в качестве ключа - текущий адрес в памяти (обход эвристического анализатора антивируса): arch.asm, infect.crypt.asm
  • использование хэша функций, вместо открытых имен (сокрытие вызываемых внешних функций в коде): gethash.asm
  • перехват вызова функций и выполнение собственного кода (резидентный код): hookapi.asm
  • заражение исполняемых файлов путем подмены адреса в PE-заголовке, выполнение внедренного кода и возврат управления оригинальному коду: infect.asm, infect.jmp.asm
  • запись кода в межсекционное пространство исполняемых файлов и сборка фрагментов кода при запуске приложения: infect.mezo.asm, infect.sec.asm
  • обединение полученных результатов: nop.asm

Вирус не представляет опасности (заражение и все последующие операции производятся лишь с одним файлом C:\TEST.EXE) и должен быть использован лишь для ознакомления с описанными технологиями.