Текстовые строки
Прежде чем приступать к тотальному дизассемблированию исследуемого файла, нелишне пролистать его дамп на предмет выявления потенциально небезопасных текстовых строк, к которым, в частности, относятся команды SMTP-сервера и командного интерпретатора операционной системы ("HELO/MAIL FROM/MAIL TO/RCPT TO, DEL/COPY/RD/RMDIR соответственно), ветви автозапуска реестра (RunServices, Run, RunOnce), агрессивные лозунги и
высказывания ("легализуем марихуану", "сам дурак") и т.д.
Конечно, все это еще не свидетельство наличия вируса (троянской программы), а отсутствие компрометирующих программу текстовых строк – не гарант ее лояльности, но… просто поразительно какое количество современных вирусов ловится таким элементарным способом. Не иначе как снижение культуры программирования дает о себе знать? Действительно, подавляющее большинство программ (и зловредных программ в том числе) сегодня разрабатывается на языках высокого уровня, а программисты не дают себе труда хоть как-то скрыть "уши", торчащие из секции данных (не знают как это сделать?). Откомпилированная программа просто шифруется статическими упаковщиками, которые легко поддаются автоматической/полуавтоматической распаковке, выдавая исследователю исходный дамп со всеми текстовыми строками на поверхности (см. "идентификация упаковщика и автоматическая распаковка").
Ниже в качестве примера приведен фрагмент вируса I-Worm.Kiliez.e, на малоизвестность которого жаловаться не приходится (вах! как трудно взглянуть на дамп того, что вы запускаете!):
data:0040E048 aQuit db 'QUIT',0Dh,0Ah,0 data:0040E050 db '.',0Dh,0Ah,0 data:0040E058 aData db 'DATA ',0Dh,0Ah,0 data:0040E060 aHeloS db 'HELO %s',0Dh,0Ah,0 data:0040E06C asc_40 db '>',0Dh,0Ah,0 data:0040E070 aMailFrom db 'MAIL FROM: <',0 data:0040E080 aRcptTo db 'RCPT TO:<',0 data:0040F244 aSoftwareMicrosdb 'Software\Microsoft\Windows\CurrentVersion\',0 data:0040F279 aRun db 'Run',0 data:0040F27D aRunonce db 'RunOnce',0 data:0040F285 aSystemCurrentcdb 'System\CurrentControlSet\Services',0 data:0040F2A7 aSoftwareMicr_0db 'Software\Microsoft\WAB\WAB4\Wab File Name',0 data:0040F2D1 aRunservices db 'RunServices',0 data:0040F2DD aInternetSettindb 'Internet Settings\Cache\Paths',0 data:0040F302 aHi db 'Hi,',0 data:0040F306 aHello db 'Hello,',0 data:0040F30D aRe db 'Re:',0 data:0040F311 aFw db 'Fw:',0 data:0040F315 aUndeliverableMdb 'Undeliverable mail--"%s"',0 data:0040F32E aReturnedMailS db 'Returned mail--"%s"',0
Рисунок 3 Фрагмент вируса I-Worm.Kilez.e, текстовые строки содержащиеся в теле которого выдают агрессивные намерения последнего с головой
