Исследование вирусных и антивирусных технологий. Используется TASM для Win32 (Windows 95/98).
Содержание:
- запаковка/распаковка вирусного кода методом XOR, в качестве ключа - текущий адрес в памяти (обход эвристического анализатора антивируса): arch.asm, infect.crypt.asm
- использование хэша функций, вместо открытых имен (сокрытие вызываемых внешних функций в коде): gethash.asm
- перехват вызова функций и выполнение собственного кода (резидентный код): hookapi.asm
- заражение исполняемых файлов путем подмены адреса в PE-заголовке, выполнение внедренного кода и возврат управления оригинальному коду: infect.asm, infect.jmp.asm
- запись кода в межсекционное пространство исполняемых файлов и сборка фрагментов кода при запуске приложения: infect.mezo.asm, infect.sec.asm
- обединение полученных результатов: nop.asm
Вирус не представляет опасности (заражение и все последующие операции производятся лишь с одним файлом C:\TEST.EXE) и должен быть использован лишь для ознакомления с описанными технологиями.