Показана установка перехватчика API файловой системы в ядро операционной системы. Таким образом, этот перехват исполняется при кажДом Вызове интерфейса API файловой системы. Обратите внимание, что после установки перехватчика, исполнение кода вируса CIH становится нелинейном. Перехватчик интерфейса API файловой системы находится в неактивНом Состоянии и исполняется только тогда, когда операционная система делает запрос на его исполнение. Это поведение во многом напоминает поведение драйвера устройства. Как можно видеть в исходном коде вируса, этот перехватчик проверяет тип исполняемой операции и инфицирует только исполняемые файлы. На данном этапе перехватчик интерфейса файловой системы является резидентным элементом системы. Его можно рассматривать как компонент ядра. Он копируется в системную память, выделенную для его нужд в начале.4 показано расположение вируса в системном виртуальном адресном пространстве сразу же после установки перехватчика интерфейса API файловой системы. Не забывайте, что перехватчик интерфейса API файловой системы вызывается когда операционная система выполняет действия, связанные с файлом. ^ таким действиям относятся открытие, закрытие, чтение или запись файла. Код перехватчика интерфейса API файловой системы довольно объемистый. Поэтому я приведу только те его фрагменты, которые представляют интерес В частности, в этом листинге показано, как вирус содержимое BIOS. Именно этому вопросу и будет уделено основное внимание При изучении кода, выводящего BIOS из строя, вам потребуются технические спецификации на чипсеты Intel 440ВХ и Intel 430ТХ, на универсальный контроллер Intel 82371АВ, а также на чипы флэш — ROM Winbond W29C020C и SST29EE010. Начнем наше исследование с точки входа процедуры вывода из строя BIOS. После закрытия файла, выполняется проверка необходимости восстановления времени модификации файла, и осуществляется условный переход jnc isKiiicomputer. Код вируса проверяет, совпадает ли дата, сохраненная в CMOS, с предопределенной датой в коде вируса — В случае совпадения, вызывается код вывода из строя BIOS.
Сама процедура вывода BIOS из строя в первую очередь разрешает доступ к чипу BIOS. Осуществляет она это посредством конфигурирования регистра выбора чипа шины X-Bus в южном мосту Intel pflX4. Код для этого процесса показан в листинге
Рубрика: Женский интерес