Copy Link
Add to Bookmark
Report
Minotauro Magazine Issue 09 04 MÇtodos anti-virus WMA, digital anarchy
MINOTAURO MAGAZINE #9:
Mtodos anti-virus
WMA, digital anarchy
Bueno, la idea de este art¡culo es alocada y hasta torpe. Pero lo que
pretende es despertar un poco el intelecto asi que prosigamos...
Como conocemos hay muchos metodos anti-virus, la mayor¡a como todos
sabemos son basura, pero uno de los mejores es el chequeo de integridad.
Primero, no necesita de cadenas de identificaci¢n, no esta sujeto
a los errores a los que estas est n; segundo, no es un sistema
heur¡stico que en s¡ es facil de burlar, no es un programa
que sigue un algoritmo para buscar codigo com£n a los virii o cosa
parecida, es mucho mas sencillo, y mas efectivo.
Consiste simplemente en a partir de un archivo generar un codigo, o
checksum, que bien puede ser hecho mediante CRC o simplemente ir
sumando todos los bytes que conforman al archivo.
Con esto, si el archivo cambia, al ser infectado la suma no dar igual
y estaremos alertas de la posible presencia de un virus.
En casos como el tbav, donde ese checksum se guarda en un file,
el sistema se torna engorroso, ya que hay un file con estos datos por
cada directorio, lo que ocupa espacio, y ademas es f cilmente burlado
por un virus, borrando simplemente ese file.., sin contar que cada
nuevo file que entre a nuestra PC tendremos que validarlo sacando el
checksum del mismo, o lo mismo cuando modifiquemos un file.
Pero existe un sistema mejor que el guardar un file con el checksum,
que es el de inmunizar el file.
En qu consiste esto?, pues en que el checksum vaya adentro del mismo
programa. Lo que se hace es agregar un modulo (como si fuera un virus)
que autochequee el archivo antes de ejecutar el mismo, y si este cambi¢,
o su checksum no es el correcto, informa del caso y no corre el programa.
Igualmente, a ese momento, el virus ya se habr instalado en memoria,
pero a£n as¡ queda el problema de que nos delata, pero eso es f cilmente
burlado simplemente no infectando los files con ese modulo agregado,
que son f ciles de reconocer.
Tambin esto hace aumentar el tama¤o del file ejecutable, y ademas esta
sujeto a determinado tipos de ejecutables (x ejemplo no se le puede
poner a un .exe con overlays).
Podr¡a seguir explicando falencuias, pero no tengo ganas ;), en definitiva,
tampoco sirve como metodo anti-virus...
Igualmente este art¡culo es alocado e incentivador del intelecto, como
lo mencion al principo de la nota, asi que vayamos a por ello..
La idea es hacer un programa que se autogenere al ejecutarse, y que no
pueda ser infectado.
En c¢digo se traduce a algo mas o menos as¡..:
;====== Cut Here ==============================================================
.Model tiny
.Code
org 100h
begin: nop ; espacio para poder regenerarse
nop
nop
mov ah,9 ; el programa en s¡ (cualquier cosa)
lea dx,msg
int 21h
call regen ; me regenero.
mov ax,4c00h ; salimos al DOS
int 21h
Regen:
mov di,100h ; escribimos nuestros 3 bytes originales a
lea si,RealJump ; nstro. comienzo, donde deber¡an estar.
movsw
movsb
mov ax,3d02h ; nos abrimos...
lea dx,MySelf
int 21h
mov bx,ax
mov ah,40h ; nos copiamos desde memoria, la cantidad de
mov dx,100h ; bytes q' ocupamos, asi nos desacemos del virii.
mov cx,MySize
int 21h
mov ah,3Eh ; nos cerramos...
int 21h
ret ; listo, volvemos..
RealJump db 90h,90h,90h ; 3 bytes originales
msg db 'Hi!, Soy Incontagiable!$'
mySelf db 'GENIO.COM',0
MySize equ $ - offset begin ; nstro. tama¤o
end begin
;====== Cut Here ==============================================================
El problema de que el virus quedar¡a en memoria igual (esto suponiendo que
todav¡a no lo est) sigo estando, pero veamos otras falencias..
Si el virus infecta antes de ejecutar el file el sistema funcionar¡a de
maravilla (en el caso hipottico de que TODOS los ejecutables del sistema
tuvieran este modulo).
El programa se correr¡a, el virus lo infectar¡a, pero al ejecutarse el
file contagiado, este restaurar¡a sus 3 primeros bytes, y se copiar¡a a
si mismo a disco (sin el virus) y quedar¡a intacto.
Puede existir el problema de que el virus cambie mas que los 3 primeros
bytes, pero esto se soluciona burdamente aumentando la cantidad de nops
del file.
Pero esto es f cilmete sorteado con honores :) por los virus que
infectan despues de ejecutado el file, ya que el programa se regenerar¡a
de la posible infecci¢n previa, pero al terminar ya estar¡a infectado
nuevamente.
Esto demuestra que estos sistemas en la pr ctica tampoco sirven, al
igual que muchos otros, asi que resignense y reciban su pr¢xima
infecci¢n con agrado.
-- WM [DAN] --
P.D: se les estimul¢ o no el intelecto? ;), pueden seguir modificando
el codigo que adjunto, o pensando mas sobre el tema, yo podr¡a seguir
ampliando y especificando, pero se har¡a muy tedioso, asi que es su
trabajo.. :)
