Maximize
Bookmark

VX Heaven

Library Collection Sources Engines Constructors Simulators Utilities Links Forum

О заражении .CRK/.XCK файлов

Z0mbie
1999

[Вернуться к списку] [Комментарии]

О файлах

В .CRK и .XCK файлах, как известно, хранятся отличия файлов исходных от файлов похаканных. В общем случае отличия хранятся так:

всякие комментарии
HACKME.EXE
00012345: 74 EB
...

Поскольку сей текст для людей более-менее понимающих, я здесь не буду подробно (да и вообще) описывать формат этих несчастных файлов.

Заражение

Рассматривается ситуация, когда на диске есть крак (.CRK/.XCK), а самого файла как бы нет. (я говорю о том файле, на который крак направлен, в примере - HACKME.EXE)

Заражение происходит в 3 этапа:

  1. при нахождении крака - сохраняем его содержимое в тело вируса
  2. при нахождении исполняемого файла, если в вирусе сохранен крак, направленный на этот файл
    • заражаем файл вирусом
    • изменяем крак таким образом, чтобы он содержал вирус
  3. при повторном нахождении крака - сохраняем "зараженный" крак поверх исходного

В результате чего все файлы, к которым будет применен такой модифицированный крак станут заражены вирусом.

Очевидно, на этапы заражение разделено потому, что на одном компьютере может быть крак, но не быть файла, и наоборот. Таким образом крак будет "ходить" вместе с вирусом до тех пор, пока не будет найден нужный ему файл.

Пример

--исходный крак----------------
всякие комментарии
HACKME.EXE
00012345: 74 EB
...
-------------------------------
--"зараженный" крак------------
всякие комментарии
HACKME.EXE
00005F00: 00 0F    // вирус
00005F01: 00 01
...
00012345: 74 EB    // старый крак
...
-------------------------------

Ограничения

Зачем

Да и вообще, заражать нужно все. И побольше, побольше! ;-)

By accessing, viewing, downloading or otherwise using this content you agree to be bound by the Terms of Use! vxheaven.org aka vx.netlux.org
deenesitfrplruua