Introducción a la programación de virus en ASM
Páginas: 8 (1941 palabras)
Publicado: 17 de septiembre de 2014
Capítulo 1
Preparando las mesa de trabajo
Bueno, acá empezamos.
La idea es armar una introducción a la programación de virus en ASM para Windows.
Para desarrollar esto vamos a ir armando paso a paso un virus real para ir viendo las partes principales que lo componen y a la vez vamos a tocar temas fundamentales en la creación de estos especimenes como son la administración de memoria, elmanejo estructurado de excepciones (SEH), formatos de los archivo portables ejecutables (PE), y un largo etc.
Si todo va bien, cuando terminemos vamos a tener desarrollado un virus funcional que luego servirá de punto de partida para que puedan realizar sus propias creaciones, de todas formas el tema principal es que se entienda cada parte del mismo en profundidad, no solamente la mecánica,sino para que se realiza y por que se hace de esa forma. Creo que lo esencial es comprender el funcionamiento interno de un virus, ya que si lo que queremos es obtener un código fuente lo podemos buscar en Internet y listo.
Tengo que aclarar algo, dentro de este curso vamos a ver cosas desde cero pero algunas no las vamos a poder tratar con demasiada profundidad ya que si no se haría demasiadoextenso. Pero voy a ir dejando referencias para que puedan profundizar cada tema visto.
Bueno, vamos a la acción. Todas las herramientas que vamos a utilizar son de distribución gratuita.
Vamos a trabajar con algunas herramientas básicas las cuales les voy a contar como configurarlas para que puedan tener todo listo para que arranquemos, y más adelante veremos otras complementarias según lasvayamos necesitando.
MASM
El assembler que vamos a utilizar es Microsoft Macro Assembler (MASM), el cual es un assembler de alto nivel creado por Microsoft, el cual se puede conseguir en forma gratuita desde la dirección http://www.masm32.com/. La elección de este lenguaje es por que hay mucha información del mismo (como los excelentes tutes de Iczelion) y además se lleva muy bien con la otraherramienta que vamos a utilizar (RadASM). De todas formas todo lo que vamos a ver es muy fácil portarlo a otro assembler como TASM, NASM, etc.
La instalación es muy sencilla, bajamos el instalador de la página que les mencionaba mas arriba, y luego lo descomprimimos. Se extrae un único archivo llamado “install.exe”, el cual ejecutamos y nos aparece la siguiente pantalla:
Seleccionamos eldisco donde lo vamos a instalar y hacemos clic en “Start”.
Luego nos pide que confirmemos la instalación y nos avisa que no debe ejecutarse en background o con baja prioridad ya que necesita mucho procesador para compilar las librerías necesarias. Le damos aceptar y nos sale un mensaje para que se proceda a instalar el MASM:
Le damos a ‘Extract’ y comienza a descomprimirse en el discorígido.
Luego aparecerá una ventana DOS para que confirmemos la compilación de unas librerías que necesita. Nos va a pedir varias confirmaciones hasta que muestra que la instalación se realizó con éxito:
OllyDBG
Para quien no lo conoce, el OllyDBG es un excelente debugger para programas en Windows de 32 bits. Este programa trabaja en Ring 3, que para empezar con un poco de teoría lescomento de que se trata.
Los procesadores X86 de Intel y compatibles tienen 4 niveles de privilegio:
Ring 0: mayor privilegio (nivel kernel), sobre este se ejecuta el sistema operativo
Ring 1
Ring 2
Ring 3: menor privilegio (nivel usuario)
Win32 solamente soporta ring0 y ring3. En ring3 no tenemos acceso directo a los puertos, ni a zonas de memoria específicas, ni podemos controlar cualquierproceso, etc.
De todas formas nosotros nos vamos a basar en ring3, ya que es lo mas recomendable si queremos tener una mayor compatibilidad con los sistemas operativos. Los virus que logran correr sobre ring0 se basan en ciertos bugs de los SO (sistemas operativos), pero esto los limita para nuevas versiones del mismo o a parches de seguridad que corrijan dicho error.
Veamos un poco mas de...
Preparando las mesa de trabajo
Bueno, acá empezamos.
La idea es armar una introducción a la programación de virus en ASM para Windows.
Para desarrollar esto vamos a ir armando paso a paso un virus real para ir viendo las partes principales que lo componen y a la vez vamos a tocar temas fundamentales en la creación de estos especimenes como son la administración de memoria, elmanejo estructurado de excepciones (SEH), formatos de los archivo portables ejecutables (PE), y un largo etc.
Si todo va bien, cuando terminemos vamos a tener desarrollado un virus funcional que luego servirá de punto de partida para que puedan realizar sus propias creaciones, de todas formas el tema principal es que se entienda cada parte del mismo en profundidad, no solamente la mecánica,sino para que se realiza y por que se hace de esa forma. Creo que lo esencial es comprender el funcionamiento interno de un virus, ya que si lo que queremos es obtener un código fuente lo podemos buscar en Internet y listo.
Tengo que aclarar algo, dentro de este curso vamos a ver cosas desde cero pero algunas no las vamos a poder tratar con demasiada profundidad ya que si no se haría demasiadoextenso. Pero voy a ir dejando referencias para que puedan profundizar cada tema visto.
Bueno, vamos a la acción. Todas las herramientas que vamos a utilizar son de distribución gratuita.
Vamos a trabajar con algunas herramientas básicas las cuales les voy a contar como configurarlas para que puedan tener todo listo para que arranquemos, y más adelante veremos otras complementarias según lasvayamos necesitando.
MASM
El assembler que vamos a utilizar es Microsoft Macro Assembler (MASM), el cual es un assembler de alto nivel creado por Microsoft, el cual se puede conseguir en forma gratuita desde la dirección http://www.masm32.com/. La elección de este lenguaje es por que hay mucha información del mismo (como los excelentes tutes de Iczelion) y además se lleva muy bien con la otraherramienta que vamos a utilizar (RadASM). De todas formas todo lo que vamos a ver es muy fácil portarlo a otro assembler como TASM, NASM, etc.
La instalación es muy sencilla, bajamos el instalador de la página que les mencionaba mas arriba, y luego lo descomprimimos. Se extrae un único archivo llamado “install.exe”, el cual ejecutamos y nos aparece la siguiente pantalla:
Seleccionamos eldisco donde lo vamos a instalar y hacemos clic en “Start”.
Luego nos pide que confirmemos la instalación y nos avisa que no debe ejecutarse en background o con baja prioridad ya que necesita mucho procesador para compilar las librerías necesarias. Le damos aceptar y nos sale un mensaje para que se proceda a instalar el MASM:
Le damos a ‘Extract’ y comienza a descomprimirse en el discorígido.
Luego aparecerá una ventana DOS para que confirmemos la compilación de unas librerías que necesita. Nos va a pedir varias confirmaciones hasta que muestra que la instalación se realizó con éxito:
OllyDBG
Para quien no lo conoce, el OllyDBG es un excelente debugger para programas en Windows de 32 bits. Este programa trabaja en Ring 3, que para empezar con un poco de teoría lescomento de que se trata.
Los procesadores X86 de Intel y compatibles tienen 4 niveles de privilegio:
Ring 0: mayor privilegio (nivel kernel), sobre este se ejecuta el sistema operativo
Ring 1
Ring 2
Ring 3: menor privilegio (nivel usuario)
Win32 solamente soporta ring0 y ring3. En ring3 no tenemos acceso directo a los puertos, ni a zonas de memoria específicas, ni podemos controlar cualquierproceso, etc.
De todas formas nosotros nos vamos a basar en ring3, ya que es lo mas recomendable si queremos tener una mayor compatibilidad con los sistemas operativos. Los virus que logran correr sobre ring0 se basan en ciertos bugs de los SO (sistemas operativos), pero esto los limita para nuevas versiones del mismo o a parches de seguridad que corrijan dicho error.
Veamos un poco mas de...
Leer documento completo
Regístrate para leer el documento completo.