ساختار كلي فايل هاي Com وexe تحت Dos

[rahimonline]

با توجه به شكل ، مشخص مي شود كه معمولا و نه هميشه اولين دستور از فايل هاي اجرايي COM، حاوي يك آدرس پرش (Jump) مي باشد كه اجراي برنامه را به مكان ديگري از داخل حافظه انتقال مي دهد و سپس دستورات اصلي برنامهاز مكان XXXXX در شكل فوق آغاز مي گردد.اما اگر همين آدرس پرش اوليه را بتوانيم طوري تغيير دهيم كه به ابتداي برنامه خودمان منتقل شود .مي توان گفت كه نصف كار آلوده سازي را انجام داده ايم . بصورت كلي جهت انجام اين كار ابتدا آدرس پرش اوليه XXXXX را در مكاني از حافظه ذخيره كرده (براي استفاده بعدي ) و سپس آدرس شروع برنامه خود را درآن قرار مي دهيم . خوب تا اينجا توانسته ايم كنترل اجرايي فايل هاي COM را بدست گيريم . سپس كافي است در داخل ويروس عمليات مربوط به يافتن فايل هاي اجرايي غير آلوده ، درستكاري آنها و انجام يكسري تخريب ها ( چاپ يكسري مطالب جهت ترساندن كاربر معرفي خود) و نهايتا برگشت به آدرس اوليه پرش XXXXX جهت اجراي عادي فايل آلوده شده مراجعه كرده تا برنامه ازاين پس روال عادي اجرايي خود را انجام دهد.

ساختار كلي فايل هاي اجرايي از نوع EXE تحت DOS

ساختار كلي فايل هاي EXE پيچيده تر است . طبق شكل،تمام فايل هاي EXE داراي يك Header يا عنوان بوده كه شامل اطلاعات تخصصي فايل اجرايي نظير مشخصه فايل،اندازه واقعي فايل،آدرس هاي Data Segment،Code Segment و..... مي باشد. بنابراين بر خلاف فايل هاي COM كه اولين دستور از آنها حاوي آدرس شروع برنامه است ، در اين فايل ها بايت هاي 20و22 در داخل Header حاوي آدرس شروع برنامه است و چون فايل هاي EXE از نظر اندازه مي توانند خيلي بزرگتر از COM باشند، اين آدرسها شامل SEGMENT:OFFSET است
با توجه به توضيح فوق در مورد نحوه آلوده سازي فايل هاي COM كافي است آدرس هاي X1:X2 را به ابتداي برنامه خود تغيير داده وسپس در پايان كار نيز به محل اوليه X1:X2 باز گرديم . اما اين نكته قابل ذكر است كه بدليل پيچيدگي ساختار فايل هاي EXE، آلوده سازي اينگونه فايل ها از فايل هاي COM مسكلتر است .