Установка перехватчика интерфейса API файловой системы

15.09.2016

Показана установка перехватчика API файловой системы в ядро операционной системы. Таким образом, этот перехват исполняется при каж­Дом Вызове интерфейса API файловой системы. Обратите внимание, что после установки перехватчика, исполнение кода вируса CIH становится нелиней­ном. Перехватчик интерфейса API файловой системы находится в неактив­Ном Состоянии и исполняется только тогда, когда операционная система де­лает запрос на его исполнение. Это поведение во многом напоминает поведение драйвера устройства. Как можно видеть в исходном коде вируса, этот перехватчик проверяет тип исполняемой операции и инфицирует только исполняемые файлы. На данном этапе перехватчик интерфейса файловой системы является резидентным элементом системы. Его можно рассматри­вать как компонент ядра. Он копируется в системную память, выделенную для его нужд в начале.4 показано расположение вируса в системном виртуальном адресном пространстве сразу же после ус­тановки перехватчика интерфейса API файловой системы. Не забывайте, что перехватчик интерфейса API файловой системы вызывает­ся когда операционная система выполняет действия, связанные с файлом. ^ таким действиям относятся открытие, закрытие, чтение или запись файла. Код перехватчика интерфейса API файловой системы довольно объемистый. Поэтому я приведу только те его фрагменты, которые представляют интерес В частности, в этом листинге показано, как вирус содержимое BIOS. Именно этому вопросу и будет уделено основное внимание При изучении кода, выводящего BIOS из строя, вам потребу­ются технические спецификации на чипсеты Intel 440ВХ и Intel 430ТХ, на универсальный контроллер Intel 82371АВ, а также на чипы флэш — ROM Winbond W29C020C и SST29EE010. Начнем наше исследование с точки входа процедуры вывода из строя BIOS. После закрытия файла, выполняется проверка необходимости восстановления времени модификации файла, и осуществля­ется условный переход jnc isKiiicomputer. Код вируса проверяет, совпада­ет ли дата, сохраненная в CMOS, с предопределенной датой в коде вируса — В случае совпадения, вызывается код вывода из строя BIOS.
Сама процедура вывода BIOS из строя в первую очередь разрешает доступ к чипу BIOS. Осуществляет она это посредством конфигурирования регистра выбора чипа шины X-Bus в южном мосту Intel pflX4. Код для этого процесса показан в листинге



Рубрика: Женский интерес

Комментарии закрыты.