Читаем Создаем вирус и антивирус полностью

Но если вирус успел заразить command.com или стартует из загрузочного сектора, то антивирус-блокировщик не поможет.

Листинг программы, блокирующей распространение вируса SVC-1740:

;; Резидентный блокировщик вируса SVC−1740

;; (c) К. Климентьев, Самара 1997

cseg segment

assume cs:cseg, ds:cseg, ss:cseg

org 100h

;Переходим к инициализации программы

Start:

jmp Install

;Обработчик прерывания INT 21h

Int21:

;Проверим номер функции, если 83h –

;то это запрос присутствия вируса

cmp ah, 83h

jnz Skip21

;Ответим, что вирус присутствует

mov dx, 1990h

;Запускаем оригинальный обработчик прерывания

Skip21:

db 0EAh ;Код команды JMP

Ofs21 dw ?

Seg21 dw ?

;Инициализируем программу

Install:

;Проверим, не инсталлирована ли уже эта программа. Если

;инсталлирована, выведем сообщение об этом и выйдем из программы.

;Вторую копию программы инсталлировать не имеет смысла

mov ah,83h

int 21h

cmp dx, 1990h

jz Already

;Считаем оригинальный вектор прерывания INT 21h

mov ax,3521h

int 21h

mov Ofs21, bx

mov Seg21, es

;Установим наш вектор прерывания INT 21h

mov ax, 2521h

mov dx,offset Int21

int 21h

;Выведем сообщение об успешной инсталляции программы в памяти

mov ah,9

mov dx, offset OkMes

int 21h

;Выйдем из программы, оставив обработчик резидентным

mov dx, offset Install

int 27h

;Выведем сообщение о том, что вирус

;или наша программа уже в памяти

Already:

mov ah,9

mov dx, offset BadMes

int 21h

ret

;Сообщения программы

OkMes db ”Yeah! STOPSVC installed now!”,13,10

db ”(c) KostyaSoft, Samara 1997$”

BadMes db 7,”Perhaps, virus is in memory already. Sorry.$”

Итак, нужно написать некую программу, которая будет сканировать каталоги указанного диска, искать зараженные файлы и исцелять их.

Важный момент – поиск и лечение должны производиться после загрузки с «чистой» дискеты. Это правило должно выполняться при использовании любого антивируса. Но если коммерческие программы, написанные профессиональными вирусологами, каким-то образом пытаются противодействовать «заразе», пресекая действия агрессивных резидентов, разыскивая и обращаясь к оригинальным обработчикам прерываний или проверяя свой код на целостность, то представленная программа из-за своей простоты этого делать не умеет.

В качестве языка программирования выбран С. Приоритетным признано использование таких библиотечных процедур, форматы которых идентичны во многих системах программирования. Поэтому, например, использовалась процедура _dos_findfirst(), а не findfirst(). Программа была написана и отлаживалась в системе программирования JPI TopSpeed C v3.01, а также была проверена на Borland C++ v3.1. Кроме того, контролировалось наличие, идентичность по функциям и форматам вызова использованных библиотечных функций в системах программирования Microsoft C++ v6.0 и Watcom C++ v10.0. Но если что-то и не совпадет, откорректировать программу любому программисту не составит труда.

Основу программы составляет алгоритм обхода дерева каталогов и поиска в них файлов с расширениями «СОМ» и «ЕХЕ».

В тот момент, когда обнаружен очередной потенциально зараженный файл, вызывается функция infected() с именем файла в качестве параметра. Задачей этой функции является проверка указанного файла на заражение и возврат соответствующего признака.

В случае положительного результата на заражение вызывается функция cure(), которая и выполняет операцию исцеления зараженной программы.

Если требуется написать программу для лечения для какого-либо другого вируса, достаточно просто изменить содержимое процедур cure() и infected().

Итак, как же узнать, заражена программа или нет? В прошлых главах это делалось чисто визуально, теперь же требуется определить формальные признаки зараженности.