Home > Проги > О дизассемблировании

О дизассемблировании

Как-то поймал вирус себе на флешку.  Скорее всего, в компьютерном зале это случилось. Советую всегда проверять флешку антивирусом. Этот вирус очень распространенный, у Касперского называется Worm.Win32.AutoRun.byt. Ведет себя как net-worm, сетевой червяк тобишь (http://www.viruslist.com/ru/viruses/encyclopedia?chapter=156769326#net – для общего развития).

Вот подумал, что мне с ним сделать? И решил-ка я его продизассемблировать. Взглянуть на кишки, так сказать.

loc_10008D6A:
cmp ecx, 0BCh
jb short loc_10008D87
cmp ecx, 0CAh
ja short loc_10008D87
call __errno
mov dword ptr [eax], 8
pop esi
retn

Вот из этого состоит этот червяк-авторанец. Ну, разумеется это не все. Ассемблерный исходник весит 630 833 байт. Согласитесь, не мало.  Но мне ведь мало одного ассмблера, (Как говорит одна моя хорошая знакомая: “Кирилл, ты – извращенец!” =).) поэтому я взял и продекомпилировал червячка. Вуаля – исходник на С размером 263 690 байт готов.

if ( v2 == (HANDLE)-1 )
{
if ( *(_DWORD *)(v1 + 4) )
CloseHandle(*(HANDLE *)(v1 + 4));
if ( CopyFileA((LPCSTR)(v1 + 280), (LPCSTR)(v1 + 20), 0) )
{
DeleteFileA((LPCSTR)(v1 + 280));
v15 = CreateFileA((LPCSTR)(v1 + 20), 0xC0000000u, 0, 0, 3u, 0x80u, 0);
*(_DWORD *)(v1 + 4) = v15;
if ( v15 == (HANDLE)-1 )
*(_DWORD *)(v1 + 4) = 0;
}
}

Вот такой вот сишный код.

Кстати, во время дизассемблирования, мне пришлось отключить файловый антивирус на время.  Шаг рискованный, так как этот вирус мог проникнуть глубже.

Постскриптум.

Этои исходники я делал исключительно для себя в образовательных целях, и не буду пытаться их использовать.  Так же никаких просьб типа “Брось плиз исходник на мыло!” быть не должно. Это пустой номер – никому исходников не дам и не просите даже.

Advertisements
Categories: Проги
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: