home *** CD-ROM | disk | FTP | other *** search
/ HPAVC / HPAVC CD-ROM.iso / pc / CODBRK1.ZIP / Codbrk1 / Codbrk11.txt < prev    next >
Encoding:
Text File  |  1997-10-21  |  5.9 KB  |  85 lines
  1.                              Windows Grab-Bag
  2.                                     By
  3.                                 Horny Toad
  4.  
  5.  
  6.     For the longest time, I abated on how and what to write on the subject of windows 
  7. infection.  There is no question that windows needs to be discussed in greater detail than has been 
  8. in the past couple years.  Therefore, I have decided to conglomerate many issues that are on my 
  9. mind about windows and present them to you.  For the first issue, I will keep the concepts on the 
  10. easy side. (If windows does have an easy side!)  If you are a beginner to the virus field, maybe 
  11. you should read this article at a later time.  Learn basic assembly first, then work on 32-bit 
  12. programming.  Actually, beginners should read this article too so that they can put in perspective 
  13. what is out there and what lies ahead.
  14.     
  15. Windows 95, 98, 99...
  16.  
  17.     Ok, do you want the good news or the bad news first?  Yes, there is both good and bad 
  18. news about the future operating systems that Microsoft is providing us to infect.  I have had a 
  19. chance to mess around with Windows 98 beta.  The good news:  For all of you that adapted to the 
  20. new techniques of 32-bit programming, whether it be assembly, C++, VBA,... not much has 
  21. changed in the integration of the new OS.  The bad news:  Firstly, it will be that much harder to 
  22. create a unique W98 virus.  A close evaluation of changes in memory allocation and new 
  23. applications will be necessary to find exploitable vulnerabilities in the system.  Secondly, for all 
  24. of those pure DOS-based virus writers, you're going to have to advance with the times and learn 
  25. windows programming.  Yes, there will still be a need for traditional DOS virii, but to fully 
  26. exploit the new file formats and system design, you are going to need to go back school and 
  27. research.  Unfortunately, there isn't much out there concerning PE and windows infections.  Calm 
  28. down...I know that there are "some" articles out there on PE infection and techniques of using 
  29. the 32-bit API, but there really isn't much in relation to the vast encyclopedias that exist 
  30. describing DOS virii writing.  And even some of the information out there isn't very reliable.  I 
  31. have had the opportunity to view confidential reports from the AV community on their opinions 
  32. of the "progress" of virus writers in adapting to the new OS.  Frankly, they are laughing at us.  
  33. Many of the virii out there that infect PE's no longer work due to compatibility problems with 
  34. new software updates.
  35.     What am I hinting at?  I would like to challenge virus writers to begin researching W95 
  36. apps and start submitting articles on your progress.  Only then, once we have educated the masses 
  37. in the changes in infecting 32-bit systems, will the virus community begin to have the strength 
  38. that we once had several years ago.  
  39.     
  40. Concepts to Consider:
  41.  
  42. 1. FAT 32 - The File Allocation Tool in Windows 98 is called FAT32, upgraded from the 16-
  43. bit FAT.  Many of you might have already upgraded to FAT32 with the W95 updates, 
  44. otherwise, there is a conversion utility in Windows 98 that allows you to convert your 
  45. existing setup to FAT32.  So the fuck what?  For the normal computer geek, FAT32 will 
  46. allow smaller clusters of information to be stored, larger hard drives to be formatted as a 
  47. single drive, and in general, better disk memory storage.  Well, what does this mean for the 
  48. virus programmer?  In order to implement the new FAT32 changes, Microsoft has given us 
  49. new unique API to infect and memory allocation.  Unfortunately, I haven't seen examples of 
  50. all of the new API, but in the upcoming releases of the developer's guides, more and more 
  51. documentation will be released.  So, are we going to wait?  Hell no!  A number of the 
  52. Windows 95 SPY programs shouldn't have much difficulty in identifying the new calls.  So 
  53. what am I getting at?  The first Windows 98 virii!  We needed to find something specific to 
  54. the new OS...this is one exploitable feature.
  55.  
  56. 2. As mentioned before, in the design of Windows 98, Microsoft intended their new OS to be 
  57. fully compatable with the previous Windows 95 OS.  What this means for the virus 
  58. programmer is that the jump to the next level of OS infecting will not be as major as we 
  59. might have expected.  Don't be afraid to begin studying Windows 95, it is essentially the 
  60. same thing.  MS's main goal was to increase the hardware and internet support of the OS, 
  61. while only slightly upgrading the software architecture of Windows 95.  
  62.  
  63. 3. The Ring 0 and 3 protection systems are still in place from the previous OS.  So when you are 
  64. looking at manipulating many low level system operations, alternative methods will have to 
  65. be looked at, such as VxD's, which we are already seeing show up in virus writing.  
  66. Unfortunately, writing the VxD's is only half of the problem.  You are still faced with 
  67. developing a concrete infection method of the new file types.  In the next edition of the mag, 
  68. I will be devoting more time and resources into opening up windows infection methods.  I 
  69. will also be discussing 32-bit programming methods along with introducing the concept an 
  70. method of calling the API's.
  71.  
  72.  
  73. If you are stuck in the development phase in Windows infection, don't fret.  If you are still having 
  74. problems infecting new file types, consider the DLL's and VxD's that you can infect which in 
  75. turn will infect only normal EXE and COM files.  The definition that we are sticking with as to 
  76. Windows infection, comprises of both the virii that can infect the new file types, plus the ones 
  77. that are still DOS based that can survive in the new environment.
  78.  
  79. In the next editions, we will also be discussing the CryptoAPI and other encryption systems that 
  80. we can exploit.  Remember, this is not only a virus writing mag, but also a general hacking mag 
  81. too.  The breaking down of the new Windows system is a complete necessity in both fields.  The 
  82. more that you can know about your environment, the better.
  83.  
  84. Good Luck! 
  85.