一套关于加解密的文件

     & 35h)，中期的单步中断（MacGyver 1.0) 及最近流行的字串比对
     法（ MacGyver4.0 & T4-Virion)(但此法对BIOS会有不相容的情形
     。这些我会在第二部分说明。
 
         通常正常的中断呼叫程序为：
 
      ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐
      │ 中断产生 │→│ DOS 处理 │→│ BIOS 处理│→│ 硬体 I/O │
      └─────┘  └─────┘  └─────┘  └─────┘
 
         而当病毒试图去入侵记忆体时，它可能会有两种侵入的方式：
 
      ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐
      │ 中断产生 │→│ DOS 处理 │→│ BIOS 处理│→│ 硬体 I/O │
      └─────┘↑└─────┘↑└─────┘  └─────┘
                    ↑              ↑
               ※病毒拦截⑴※  ※病毒拦截⑵※
 
         其中⑴的方式就是取得 DOS的进入点（当然还有分是末端进入
     点还是原始进入点），而⑵的方式就是取得BIOS的原始进入点。
 
         当病毒侵入记忆体后，便是和开机型病毒相同，藉由磁碟的作
     动来达到复制的目的（为所欲为啦）。由于近年各式各样的程式愈
     来愈多，档案型的病毒也就愈来愈猖獗啦！
 
         但是，提到这里，也不得不先提一下防毒程式的工作方式。通
     常防毒程式的工作场合有二：
 
      ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐
      │ 中断产生 │→│ DOS 处理 │→│ BIOS 处理│→│ 硬体 I/O │
      └─────┘↑└─────┘↑└─────┘  └─────┘
                    ↑              ↑
               ※防毒程式⑴※  ※防毒程式⑵※
 
         可以看到，防毒程式的动作竟和病毒十分相似！！事实上也是如
     此，很多防毒的技巧都是病毒先「发明」出来的啦！但是，为什么防
     毒程式仍然每每会被高强的病毒穿过呢？不知大家有没有发现，虽然
     位置相同，病毒和防毒程式却还是有先后的关系？举例来说，若今天
     有一只病毒利用特殊方法拿到BIOS原始进入点，那结果不就成了：
 
      ┌─────┐  ┌─────┐      ┌─────┐  ┌─────┐
      │ 中断产生 │→│ DOS 处理 │→→→│ BIOS 处理│→│ 硬体 I/O │
      └─────┘↑└─────┘↑  ↑└─────┘  └─────┘
                    ↑              ↑  ↑
               ※防毒程式⑴※       ↑ ※病毒拦截※
                               ※防毒程式⑵※
 
          这样病毒就可以低于防毒程式，甚至扰乱防毒程式！！
 
 
     》④复合型及伴随型病毒？
 
         这是近几年来比较厉害与奇妙的两种方式。
 
         复合型(Multi-partite) 病毒综合了开机型及档案型的特性，
     以及两者的感染方式，更加快了病毒程式散播的速度，如国内较
     常见的MacGyver 2.0就属这一类型（这通常也是病毒作者拿来练
     功用的）。它综合了以上二类病毒的「优点」于一身！
 
         至于伴随型病毒，则是利用 DOS执行档案的顺序，将本体复
     制为欲感染之档案，仅是附档名不同（.EXE改为.COM），并将自
     己隐藏起来，这样它不用破坏原档案，即可达成侵入记忆体的目
     的。若笔者没记错，AIDS病毒（不是人类的那种啦）就是伴随型
     病毒的先躯。不过这种病毒的方法有点类似耍诈，而且也很容易
     被扫毒程式给抓到。
 
         笔者手上还有一只病毒，我实在是不知道它应该怎么分，既
     是.COM型却都感染.EXE档（嘿嘿！原理自己想，我还想等著看黄
     瑞强怎么替JOEY打广告呢！）。
 
         随著病毒作者想法的日新月异，各式各样的病毒型别及分类
     不断地放打破及重建。下面我所要提的，就是最近大家都有兴趣
     的变体引擎及病毒产生器啦！
 
 
     》⑤变体引擎及病毒产生器？
 
         写到这里，我想告诉大家的是，多型病毒的出现已经是不可
     避免的趋势。由于病毒作者和防毒软体的斗法，造成了这样的结
     果。
         多型病毒，就是病毒本身长度会改变，且会编码，使得扫毒
     及解毒程式不能用传统式的方法来判断（对防毒倒是没有差别）
     。由于解码长度的不定，往往解毒的人必须自行加入判断的方法
     以及还原的方式，这也使得国内外许多自称有自制解药功能的防
     毒软体纷纷中箭落马（别问我是不是ZLOCK ，我是不会说的）。
     如第三波提过的Tequila以及Connie 1.0 就是属于多形病毒。
 
         而变体引擎的出现，更是将多形的能耐发挥到极点。从此，
     病毒作者不必再花脑筋去想要如何达成多型的目的，只要CALL变
     体引擎的模组即可。不过，诚如第三波所言，变体做的病毒一定
     是多形，但多形却不一定的变体，这是很重要的观念。为了让有
     兴趣的人知道更多，笔者把目前世界上的变体引擎做一个完整而
     概略的介绍。迄今就我所知全世界有８个变体引擎。
 
     变体引擎（ Polymorphic Engine ）
     ───────────────
     ⑴ Dark Avenger's Mutating Engine (MtE)
 
         这是全世界第一个变体引擎，由保加利亚毒狂Dark Avenger
     所发明及完成。由于这个「天才」的发明，使得后续不断的变体
     出现，真是「成就裴然」啊！目前最新版是 1.0b 版（嘿！比黄
     瑞强说的新）。原版的 MtE档案及说明文件如下：
 
          ┌──────────────────────┐
          │   demovir.asm      2998   4-22-92 12:00p   │
          │   make.bat          131   4-22-92 12:00p   │
          │   mte.doc          9732   4-22-92 12:00p   │
          │   mte.obj          2509   4-22-92 12:00p   │
          │   nops.bin           16   4-22-92 12:00p   │
          │   read.me          1424   4-22-92 12:00p   │
          │   rnd.asm           914   4-22-92 12:00p   │
          └──────────────────────┘
 
     ┌──────────────────────────────┐
     │   MuTation Engine <tm>                                     │
     │                                                            │
     │   Version 1.00  (22-04-92)                                 │
     │   (C) 1992 CrazySoft, Inc.                                 │
     │                                                            │
     │   1.  License                                              │
     │                                                            │
     │   You are free to include this Engine in viruses.  Using   │
     │   it in another ways is prohibited.  You are free to give  │
     │   ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^好笑吧！                 │
     │   it to people that will only use it in this way.          │
     │   MuTaion engine is free.                                  │
     └──────────────────────────────┘
 
         目前知道由 MtE做出来的病毒略举几只：
 
             CoffeShop:MtE.0_90
             Shocker:MtE.0_90
 
 
     ⑵ TridenT's Polymorphic Engine (TPE)
 
         这是由荷兰的病毒组织TridenT 大将 Masud Khafir 所做，
     目前世界公认变型能力最强的引擎。体积小而功能强大，目前已
     出到 1.4版。原版的 TPE档案及说明文件如下：
 
          ┌──────────────────────┐
          │   history.doc      1713  12-24-93  4:03p   │
          │   readme.1st       1040  12-25-92  3:04a   │
          │   tpe-gen.asm      4004  12-24-93  4:03p   │
          │   tpe-gen.com      1921   7-02-93 12:26a   │
          │   tpe-gen.obj       454  12-19-92  4:43p   │
          │   tpe.doc          8644  12-24-93  4:03p   │
          │   tpe.obj          1953   7-02-93 12:25a   │
          └──────────────────────┘
 
     ┌────────────────────────────────┐
     │   TridenT Polymorphic Engine                       version 1.4 │
     │   ============================================================ │
     │                                                                │
     │   Written by Masud Khafir of the TridenT virus research group. │
     │                                                                │
     │   What is it?                                                  │
     │   ~~~~~~~~~~~                                                  │
     │                                                                │
     │   The TPE is a module that can be included in programs to make │
     │   them able to produce polymorphic programs. The TPE comes as  │
     │   an OBJ file. If you want to include the TPE in your program  │
     └────────────────────────────────┘
 
         目前知道由 TPE做出来的病毒略举几只：
 
             Civil_War.1994:TPE.1_3
             YB-1.TPE.1_4
 
 
     ⑶ Dark Angel's Mutating Engine (DAME)
 
         相信看过第三波的人，对美国病毒组织 Phalcon/Skism  的
     鬼才 Dark Angel 应不陌生。他改良 MTE的缺点，并加上自己创
     见，创造了DAME。不过这个DAME可不是第三波那个，那个是 MTE
     啦！目前最新版是 0.91 版。
 
   ┌───────────────────────────────────┐
   │ DAME, Revisited                                                      │
   │ By Dark Angel of Phalcon/Skism                                       │
   │                                                                      │
   │ In this article, I present another lame virus to be linked with DAME.│
   │ The debug script is included at the end of the article and the source│
   │ code can be found following this short text.  Before attempting to   │
   └───────────────────────────────────┘
 
 
     ⑷ NukE's Encryption Device (NED)
 
         既有DAME，那么 NuKE 的 NoWhereMan 自然不会示弱，于是
     乎 NED就这样诞生。最新版本是 1.0版。
 
         下面是0.90b 的说明档：