home *** CD-ROM | disk | FTP | other *** search

---

/ HPAVC / HPAVC CD-ROM.iso / CODBRK3.ZIP / cb0202.txt

< prev

next >

Wrap

Text File  |  1998-03-19  |  4KB  |  92 lines

---

1.                               
2.                            Quiz #3
3.                              By
4.                          Horny Toad
5.  
6.  
7.  
8. Try and see how many of these you can answer without your
9. notes.  Most of them should be fairly easy.  They should be
10. common knowledge if you want to advance in virus writing.
11. Again, like the previous quizes, don't sweat it.  Use these
12. questions as a reminder of the concepts that you need to
13. learn.
14.  
15.  
16.  
17. Questions for Quiz 3
18.  
19. 1. Describe the difference between the int 27h and the MCB manipulation
20.    techniques in going resident.
21. 2. Why is the MCB technique more preferred?
22. 3. How is conventional memory divided up?
23. 4. What are the essential attributes of a resident virus?
24. 5. Why is a self-recognition routine necessary in resident code?
25. 6. Where is the MCB located in relation to its corresponding block of
26.    memory?
27. 7. What is the difference in using int 27h and int 21h function 31h?
28. 8. What information can be derived from the MCB?
29. 9. What are the benefits/disadvantages of prepending vs. appending
30.    int 27h virii?
31. 10. Where is the IVT located?
32. 11. Describe two techniques in changing the IVT to point to your ISR.
33. 12. Describe the normal interrupt process.
34. 13. What considerations need to be taken when program execution is
35.     transferred to your custom ISR?
36. 14.   Where is the number 1 location to find out information on individual         
37.       interrupts?
38. 15.   Describe certain precautions that you can take in experimenting with  
39.       actual virus code.                                    
40.  
41.  
42.  
43. (Brief) Answers to Quiz 2
44.  
45.  
46. 1. What is meant by the delta offset?
47. The amount at which the main body virus code has moved down passed the
48. main body of the host program.
49. 2.   What is the value of the delta offset during the first
50. run of the virus?
51. Zero.
52. 3.   What would happen if the virus didn't check the host
53. for previous infection?
54. The infected program would increase from several infections and be
55. caught in a semi-loop of several virus runs.
56. 4.   What information can we get from the DTA?
57. File name, attributes, time, date, size.
58. 5.   Where is the DTA located?
59. Offset 80h of the PSP.
60. 6.   What happens when the "call" instruction is initiated?
61. A near call pushes the IP onto the stack and loads the offset of
62. the called procedure into the IP.  It then reverses the procedure
63. on return.
64. 7.   What instruction does e9 hex equate to?
65. JMP.
66. 8.   What is the significance of DX when AH=3fh and int 21
67. is issued?
68. Address of the input area.
69. 9.   Describe the procedure in checking whether a file has
70. previously been infected with this virus.
71. You can use a marker byte or do a comparison of the file size with
72. the jump to the main virus body and the size of the virus. (Clearly
73. defined in the tutorial)
74. 10.  What value is CX after "xor CX,CX" has been done?
75. Zero.
76. 11.  What is the purpose for doing an int 20 during the
77. first run of the virus?
78. The virus is the host program, you can't expect it to run twice.
79. 12.  What parameters does the AH=4fh in next_bug use?
80. The same attributes from the find first file instruction (AH=4eh).
81. 13.  What does the pop instruction do?
82. Transfers info, previously pushed on to the stack, to a specified
83. destination.
84. 14.  When used in code, what does the term "offset" mean?
85. The offset is a displacement, or location, from a specific point,
86. typically off a segment register.
87. 15.  Do "mov DX,OFFSET whatever" and "lea DX,whatever"
88. produce the same result in DX?
89. Essentially, yes.
90.  
91.  
92.