home *** CD-ROM | disk | FTP | other *** search
/ Media Share 9 / MEDIASHARE_09.ISO / antivir / stlthb22.zip / VIRCHECK.PAS < prev    next >
Encoding:
Pascal/Delphi Source File  |  1992-02-10  |  11.1 KB  |  457 lines
  1. {$I-}
  2. {
  3. vircheck.pas
  4. Stealth Bomber Version 2.2
  5.  
  6. Kevin Dean
  7. Fairview Mall P.O. Box 55074
  8. 1800 Sheppard Avenue East
  9. Willowdale, Ontario
  10. CANADA    M2J 5B9
  11. CompuServe ID: 76336,3114
  12.  
  13. February 10, 1992
  14.  
  15.     This is the interface to the anti-virus system and CRC checks in the
  16. Stealth Bomber package.
  17.  
  18.     This code is public domain.
  19. }
  20.  
  21.  
  22. unit VirCheck;
  23.  
  24.  
  25. interface
  26.  
  27.  
  28. uses
  29.   DOS, DOSMCB, AllocBuf;
  30.  
  31.  
  32. type
  33.   crc32_t =
  34.     longint;
  35.  
  36.   FileCRC =
  37.     record
  38.     case boolean of
  39.       false:
  40.     (
  41.     SearchStr : array [1 .. 8] of char;    { Used by Stealth Bomber package only. }
  42.     );
  43.  
  44.       true:
  45.     (
  46.     Polynomial : crc32_t;            { Polynomial for this file. }
  47.     CRC : crc32_t;                { Calculated CRC for this file. }
  48.     );
  49.     end;
  50.  
  51.  
  52. { Anti-virus validation return code. }
  53. const
  54.   StealthOK          = $0000;    { No virus found. }
  55.   StealthIntrErr     = $0001;    { Interrupts set beyond the program's code space. }
  56.   StealthDOSMemErr   = $0002;    { DOS memory inconsistent with BIOS memory. }
  57.   StealthDOSHijacked = $0004;    { DOS interrupt hijacked by JMP FAR or CALL FAR. }
  58.   StealthFileErr     = $0001;    { File not found or unable to open. }
  59.   StealthFileDateErr = $0002;    { File date/time stamp invalid. }
  60.   StealthFileSizeErr = $0004;    { File size inconsistent between directory and file open checks. }
  61.   StealthCRCBadPoly  = $0008;    { CRC polynomial is invalid. }
  62.   StealthNoMem       = $0010;    { No memory to perform CRC check. }
  63.   StealthCRCInvalid  = $0020;    { CRC is invalid. }
  64.  
  65.  
  66. function StealthSysCheck : word;
  67. function StealthFileCheck(FileName : PathStr; FCRC : FileCRC) : word;
  68.  
  69.  
  70. implementation
  71.  
  72.  
  73. type
  74.   dWordRec =
  75.     record
  76.     Lo, Hi : word
  77.     end;
  78.  
  79.   BytePtr =
  80.     ^byte;
  81.  
  82.   WordPtr =
  83.     ^word;
  84.  
  85.   PtrPtr =
  86.     ^pointer;
  87.  
  88.  
  89. {***}
  90. function BIOSMemory : word;
  91.  
  92. var
  93.   Regs : Registers;    { Registers in memory check call. }
  94.  
  95. begin
  96. Intr($12, Regs);
  97. BIOSMemory := Regs.AX;
  98. end;
  99.  
  100.  
  101. {***}
  102. { Determine true segment address of pointer and check for wrap around memory. }
  103. function PtrSeg(Ptr : pointer) : word;
  104.  
  105. var
  106.   PSeg : word;    { True segment of pointer. }
  107.  
  108. begin
  109. PSeg := Seg(Ptr^) + Ofs(Ptr^) shr 4;
  110.  
  111. if PSeg < Seg(Ptr^) then
  112.   { Pointer points beyond standard 1M memory. }
  113.   PSeg := $FFFF;
  114.  
  115. PtrSeg := PSeg;
  116. end;
  117.  
  118.  
  119. {***}
  120. { Validate interrupt; make sure not beyond code space and not hijacked. }
  121. function ValidateIntr(IntrNum : integer; MemLimit : word) : word;
  122.  
  123. var
  124.   Result : word;        { Result of tests. }
  125.   I : record
  126.       case boolean of
  127.     false:
  128.       (
  129.       IPtr : pointer;    { Interrupt pointer. }
  130.       );
  131.  
  132.     true:
  133.       (
  134.       CodePtr : BytePtr;    { Pointer to interrupt; treat as data. }
  135.       );
  136.       end;
  137.   ISeg : word;            { Adjusted segment of I.IPtr. }
  138.   Target : pointer;        { Target of hijacked interrupt. }
  139.   IntrMCB : MCBPtr;        { MCB of hijacked interrupt. }
  140.   TargetMCB : MCBPtr;        { MCB of target of hijacking. }
  141.  
  142. begin
  143. { Assume interrupt is valid. }
  144. Result := StealthOK;
  145.  
  146. { Get interrupt and adjusted segment. }
  147. GetIntVec(IntrNum, I.IPtr);
  148. ISeg := PtrSeg(I.IPtr);
  149.  
  150. { Interrupt pointer invalid if between PSP and memory limit. }
  151. if (ISeg >= PrefixSeg) and (ISeg < MemLimit) then
  152.   Result := Result or StealthIntrErr;
  153.  
  154. { Check beginning of interrupt code for suspicious instructions. }
  155. case I.CodePtr^ of
  156.   $EA,        { JMP FAR <addr>. }
  157.   $9A:        { CALL FAR <addr>. }
  158.     begin
  159.     Target := PtrPtr(longint(I.CodePtr) + 1)^;
  160.     Result := Result or StealthDOSHijacked;
  161.     end;
  162.  
  163.   $2E:        { CS segment prefix. }
  164.     case WordPtr(longint(I.CodePtr) + 1)^ of
  165.       $2EFF,    { JMP FAR CS:[addr]. }
  166.       $1EFF:    { CALL FAR CS:[addr]. }
  167.     begin
  168.     Target := PtrPtr(Ptr(Seg(I.CodePtr^), WordPtr(longint(I.CodePtr) + 3)^))^;
  169.     Result := Result or StealthDOSHijacked;
  170.     end;
  171.       end;
  172.   end;
  173.  
  174. if Result and StealthDOSHijacked <> 0 then
  175.   begin
  176.   { Determine MCB's that own the interrupt and the target of the redirection. }
  177.   IntrMCB := MCBOwner(I.CodePtr);
  178.   TargetMCB := MCBOwner(Target);
  179.  
  180.   { Redirection is valid if it falls within the same MCB or falls outside memory limit. }
  181.   if (IntrMCB = TargetMCB) or (PtrSeg(target) >= MemLimit) then
  182.     Result := Result and not StealthDOSHijacked;
  183.   end;
  184.  
  185. ValidateIntr := Result;
  186. end;
  187.  
  188.  
  189. {***}
  190. { Perform anti-virus system check. }
  191. function StealthSysCheck : word;
  192.  
  193. var
  194.   Result : word;    { Result of tests. }
  195.   MCB : MCBPtr;        { Memory control block pointer. }
  196.   BIOSMem : word;    { Memory in paragraphs according to BIOS. }
  197.   DOSMem : word;    { Memory in paragraphs according to DOS. }
  198.   MemLimit : word;    { Limit of useable memory. }
  199.  
  200. begin
  201. { Assume system passes all tests. }
  202. Result := StealthOK;
  203.  
  204. BIOSMem := BIOSMemory * 64;
  205.  
  206. { Find last memory control block. }
  207. MCB := GetMCB;
  208. while MCB^.ID <> $5A do
  209.   MCB := NextMCB(MCB);
  210.  
  211. DOSMem := Seg(MCB^) + MCB^.Size + 1;
  212.  
  213. { DOS memory extenders may show more memory than BIOS and some versions of DOS may differ by up to 1k from BIOS memory. }
  214. if BIOSMem > DOSMem + 64 then
  215.   Result := Result or StealthDOSMemErr;
  216.  
  217. { Assume BIOS memory goes at least to 640k limit (may have been modified by virus). }
  218. if BIOSMem < $A000 then
  219.   MemLimit := $A000
  220. else
  221.   MemLimit := BIOSMem;
  222. if MemLimit < DOSMem then
  223.   MemLimit := DOSMem;
  224.  
  225. { Swap vectors taken over by Turbo Pascal. }
  226. SwapVectors;
  227.  
  228. Result := Result or ValidateIntr($21, MemLimit);    { DOS function interrupt. }
  229. Result := Result or ValidateIntr($24, MemLimit);    { Critical error interrupt. }
  230. Result := Result or ValidateIntr($25, MemLimit);    { Absolute disk read interrupt. }
  231. Result := Result or ValidateIntr($26, MemLimit);    { Absolute disk write interrupt. }
  232. Result := Result or ValidateIntr($1C, MemLimit);    { User timer interrupt. }
  233. Result := Result or ValidateIntr($28, MemLimit);    { DOS OK interrupt. }
  234.  
  235. { Restore vectors required by Turbo Pascal. }
  236. SwapVectors;
  237.  
  238. StealthSysCheck := Result;
  239. end;
  240.  
  241.  
  242. {***}
  243. { Extract the low word of a dword. }
  244. function LowW(DWord : longint) : word;
  245.  
  246. begin
  247. LowW := DWordRec(DWord).Lo;
  248. end;
  249.  
  250.  
  251. {***}
  252. { Extract the high word of a dword. }
  253. function HiW(DWord : longint) : word;
  254.  
  255. begin
  256. HiW := DWordRec(DWord).Hi;
  257. end;
  258.  
  259.  
  260. {***}
  261. { Calculate the CRC of a file.  The file is assumed to be open and the buffer is assumed to be valid. }
  262. function CalcCRC(var F : file; Buffer : BytePtr; BufSize : word; Polynomial : crc32_t) : crc32_t;
  263.  
  264. var
  265.   Table : array [0 .. 255] of crc32_t;    { CRC table. }
  266.   I : word;                { Byte counter. }
  267.   HalfI : ^crc32_t;            { Pointer to CRC of I div 2. }
  268.   CRC : crc32_t;            { Current CRC. }
  269.   BufPtr : BytePtr;            { Pointer to walk through Buffer. }
  270.  
  271. begin
  272. { Generate a CRC lookup table for faster calculation. }
  273. I := 0;
  274. HalfI := @Table[0];
  275. Table[0] := 0;
  276. while I < 256 do
  277.   begin
  278.   if Hi(HiW(HalfI^)) and $80 <> $00 then
  279.     begin
  280.     Table[I + 1] := HalfI^ shl 1;
  281.     Table[I] := Table[I + 1] xor Polynomial;
  282.     end
  283.   else
  284.     begin
  285.     Table[I] := HalfI^ shl 1;
  286.     Table[I + 1] := Table[I] xor Polynomial;
  287.     end;
  288.  
  289.   Inc(I, 2);
  290.   Inc(longint(HalfI), sizeof(crc32_t));
  291.   end;
  292.  
  293. { Calculate CRC. }
  294. CRC := 0;
  295. BlockRead(F, Buffer^, BufSize, I);
  296. while I <> 0 do
  297.   begin
  298.   BufPtr := Buffer;
  299.   while I <> 0 do
  300.     begin
  301.     CRC := (CRC shl 8) xor Table[Hi(HiW(CRC)) xor BufPtr^];
  302.  
  303.     Dec(I);
  304.     Inc(longint(BufPtr));
  305.     end;
  306.  
  307.   BlockRead(F, Buffer^, BufSize, I);
  308.   end;
  309.  
  310. CalcCRC := CRC;
  311. end;
  312.  
  313.  
  314. {***}
  315. { Check file header consistency and calculate CRC of file. }
  316. function StealthFileCheck(FileName : PathStr; FCRC : FileCRC) : word;
  317.  
  318. var
  319.   Result : word;    { Result of tests. }
  320.  
  321.   FN : PathStr;        { Complete file name with path. }
  322.   Dir : DirStr;        { Directory of ParamStr(0). }
  323.   Name : NameStr;    { Name of ParamStr(0). }
  324.   Ext : ExtStr;        { Extension of ParamStr(0). }
  325.  
  326.   DirInfo : SearchRec;    { File directory information. }
  327.   TimeStamp : DateTime;    { Time stamp within DirInfo. }
  328.  
  329.   OldFileMode : byte;    { Old file open mode. }
  330.   F : file;        { File handle for FN. }
  331.  
  332.   Buffer : BytePtr;    { Buffer for file's data. }
  333.   BufSize : word;    { Buffer size. }
  334.  
  335. begin
  336. { Assume file passes all tests. }
  337. Result := StealthOK;
  338.  
  339. { If name contains drive or directory, use unmodified, else build full name. }
  340. if (FileName[2] = ':') or (Pos('\', FileName) <> 0) then
  341.   FN := FileName
  342. else
  343.   begin
  344.   { Assume file not found. }
  345.   FN := '';
  346.  
  347.   { DOS version 3 and above save program name in ParamStr(0). }
  348.   if Lo(DOSVersion) >= 3 then
  349.     begin
  350.     { Split program name into its components. }
  351.     FN := ParamStr(0);
  352.     FSplit(FN, Dir, Name, Ext);
  353.  
  354.     { Merge drive and directory with file name. }
  355.     FN := Dir + FileName;
  356.  
  357.     { Attempt to access file; if failed, pass control onto path search. }
  358.     FindFirst(FN, ReadOnly or Hidden or SysFile or Archive, DirInfo);
  359.     if DosError <> 0 then
  360.       FN := '';
  361.     end;
  362.   end;
  363.  
  364. if FN = '' then
  365.   { Search path for file. }
  366.   FN := FSearch(FileName, GetEnv('PATH'));
  367.  
  368. if FN <> '' then
  369.   begin
  370.   FindFirst(FN, ReadOnly or Hidden or SysFile or Archive, DirInfo);
  371.   if DosError = 0 then
  372.     begin
  373.     UnpackTime(DirInfo.Time, TimeStamp);
  374.  
  375.     { Check file time, day, and year. }
  376.     if (TimeStamp.Sec > 59) or (TimeStamp.Min > 59) or (TimeStamp.Hour > 23) or
  377.        (TimeStamp.Day = 0) or (TimeStamp.Year >= 2080) then
  378.       Result := Result or StealthFileDateErr;
  379.  
  380.     case TimeStamp.Month of
  381.       4, 6, 9, 11:
  382.     { Thirty days hath September, April, June, and November. }
  383.     if TimeStamp.Day > 30 then
  384.       Result := Result or StealthFileDateErr;
  385.  
  386.       1, 3, 5, 7, 8, 10, 12:
  387.     { All the rest have thirty-one, excepting February alone. }
  388.     if TimeStamp.Day > 31 then
  389.       Result := Result or StealthFileDateErr;
  390.  
  391.       2:
  392.     { February hath twenty-eight days clear, and twenty-nine in each leap year. }
  393.     if TimeStamp.Year mod 4 <> 0 then
  394.       begin
  395.       if TimeStamp.Day > 28 then
  396.         Result := Result or StealthFileDateErr;
  397.       end
  398.     else
  399.       if TimeStamp.Day > 29 then
  400.         Result := Result or StealthFileDateErr;
  401.  
  402.       else
  403.         Result := Result or StealthFileDateErr;
  404.       end;
  405.  
  406.     { Save and set file mode to read-only. }
  407.     OldFileMode := FileMode;
  408.     FileMode := 0;
  409.  
  410.     Assign(F, FN);
  411.     Reset(F, 1);
  412.  
  413.     { Restore file mode. }
  414.     FileMode := OldFileMode;
  415.  
  416.     if IOResult = 0 then
  417.       begin
  418.       { Compare length to length returned by directory search. }
  419.       if FileSize(F) <> DirInfo.Size then
  420.     Result := Result or StealthFileSizeErr;
  421.  
  422.       { Make sure that polynomial has its last bit and at least one other set. }
  423.       if (FCRC.Polynomial and $00000001 = 0) or (FCRC.Polynomial = $00000001) then
  424.     Result := Result or StealthCRCBadPoly;
  425.  
  426.       { Allocate 16k buffer if possible, but get at least 512 bytes. }
  427.       BufSize := 16384;
  428.       Buffer := BufAlloc(BufSize, 512);
  429.  
  430.       if Buffer <> nil then
  431.     begin
  432.     { CRC is valid if calculated CRC matches what is stored in FCRC. }
  433.     if FCRC.CRC <> CalcCRC(F, Buffer, BufSize, FCRC.Polynomial) then
  434.       Result := Result or StealthCRCInvalid;
  435.  
  436.     FreeMem(Buffer, BufSize);
  437.     end
  438.       else
  439.     Result := Result or StealthNoMem;
  440.  
  441.       Close(F);
  442.       end
  443.     else
  444.       Result := Result or StealthFileErr;
  445.     end
  446.   else
  447.     Result := Result or StealthFileErr;
  448.   end
  449. else
  450.   Result := Result or StealthFileErr;
  451.  
  452. StealthFileCheck := Result;
  453. end;
  454.  
  455.  
  456. end.
  457.