Go to listserv.cesnet.cz LWGate Home Page.From: Petr Snajdr <SNAJDR@STUDENT.VSZBR.CZ>
Subject: Re: Jak na AVG heuristiku !
Date: Tue, 21 Mar 1995 13:33:32 MET-2DST
Next Article (by Date): Re: Jak na AVG heuristiku ! Matus Uhlar Software
Previous Article (by Date): Re: pokus "dipl. z c446"
Next in Thread: Re: Jak na AVG heuristiku ! Matus Uhlar Software
Articles sorted by: [Date]
[Subject]
------- Forwarded Message Follows -------
Uvedeny text se tyka toho, jak vyzrat nad AVG heuristikou.
Jak na AVG heuristiku !
Uvedeny zpusob je 100 % (slovy stoprocentni)
------------------------------------------------------------------
Predem bych chtel varovat vyvojare firem AVG,AVAST atd., protoze po
precteni techto radek by museli zasednout, a zacit vyvijet docela
jiny heuristicky system !
------------------------------------------------------------------
U jednoho viru ( z BRNA, kamos mel zapraskanej celej harddisk( na
VANOCE
se objevil stromecek vga320x200 a na nem blikaly ozdoby, leze to na
COM
soubory,napsalo to HEZKE VANOCE A VESELY NOVY ROK ma to 1418B,
nebo tak nejak, nakazi to pri DIRu,nebo FINDfirstu, FINDnextu,klame
system
velikosti souboru a nevim co jeste, do BOOTu mi nenalezl) jsem
si vsiml, ze heuristika AVG je nejaka rychla . Kdyz jsem vira vypitval
zjistil jsem cim to je !! Hlavni finta je asi v tom ze AVG ukonci
pred-
casne analyzovany soubor, proto ani nemuze dojit k tomu, aby probral
zbytek souboru a tim i vira ! Je to udelano pomoci PIPELININGU.
Kdo vi, o cem je rec, tak nasledujici radky pochopi .
Problem je v tom, ze AVG a jine heuristicke antivirove programy
provadeji
neco jako trasovani programu (TBAV NE!) a pritom nepocitaji s
PIPELINE.
Jak jiste mnozi vite, u procesoru od 80286 (nebo 8086) vyse je
vyuzivano
tzv. zretezeni instrukci. Instrukce se nacitaji po retezcich do
procesoru
z kodoveho segmentu (CS)(kvuli pomale rychlosti prenosu z pameti)
a odtud jsou provadeny. Nove nacteni instrukci probehne jenom pri
dokonceni celeho retezce instrukci, nebo pri ruznych skocich
(jmp,jz,jnc,....,call). Cim lepsi procesor, tim je vetsi i PIPELINE.
Pri vhodne posloupnosti provadeni instrukci muze dojit k tomu,
ze v kodovem sgmentu (CS) jsou jine instrukce nez se zrovna provadeji
v procesoru.
Pro nazornost uvadim priklad v assembleru.
;----------------------------------------
sega segment
assume cs:sega,ds:sega
org 100h
start:
mov si,offset loaddx+1
mov ah,9
mov cs:[word ptr (si)],offset trace
loaddx:
mov dx,offset notrace
int 21h ;sluzba DOSu vytisknuti retezce
mov ax,4c00h
int 21h
notrace db 'Program bezi normalne',13,10,'$'
trace db 'Program je trasovan',13,10,'$'
sega ends
end start
;------------------------------------------
Prelozite li tento program do COM, tak se budete divit.
Program totiz pozna, je-li trasovan, nebo ne !!!
(muzete vyzkouset napr. v Turbo Debuggeru)
A v tom je prave zakopany pes.
Proste v posledni chvili se zmani obsah instrukce
mov dx,offset notrace
na
mov dx,offset trace
Nemohl jsem tomu uverit, a mozna ani vy nebudete verit, ze to funguje
!
Neni li program trasovan, to se stava malokdy,
provede se zmena instrikce v CS, zatimco v procesoru je porad stara
instrukce, jeste pred modifikovanim , a proto se provede stara
instrukce.
(v nasem pripade se provede
mov dx,offset notrace)
Je-li program trasovan, dojde k mnoha jinym instrukcim, PIPELINE se
zatim
vyprazdni, dojde ke zmene instrukce v CS, instrukce se znova nacte a
provede
se modifikovana intsrukce (v nasem pripade
mov dx,offset trace)
V tom viru se to zjistuje (je vyvolane preruseni INT 21h a nesmyslne
testuje,
jestli je stisknuta nejaka klavesa (AH=0BH)), a je-li program
trasovan,
je vyvolan konec programu (AH=4CH), a tim i AVG i jine
heuristicke antiviry ukonci analyzu souboru , nepoznaji virus a jsou
v PRDE(chr(ord('L')))I !!
Bohuzel, vira sebou nemam, snad ho jeste nekde najdu !!!!
Nedavno jsem totiz pouzil DOSovsky skoro (krome MBRekordaku)
stoprocentni antivirus
pro neznalce:
FORMAT C: /U
Ahoj All !
Kdo to nepochopil, tak at se na mne obrati !
Petr Valenta
Valenta@fr.vsp.cz
Next Article (by Date): Re: Jak na AVG heuristiku ! Matus Uhlar Software
Previous Article (by Date): Re: pokus "dipl. z c446"
Next in Thread: Re: Jak na AVG heuristiku ! Matus Uhlar Software
Articles sorted by: [Date]
[Subject]