home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / lang / pascal / 4551 < prev    next >
Encoding:
Text File  |  1992-07-25  |  2.2 KB  |  55 lines
  1. Newsgroups: comp.lang.pascal
  2. Path: sparky!uunet!gatech!destroyer!gumby!yale!yale.edu!ira.uka.de!math.fu-berlin.de!news.netmbx.de!Germany.EU.net!mcsun!fuug!demos!kiae!relcom!usenet
  3. From: als@vl.ts.kiev.ua (Alexander Shehovtsov)
  4. Subject: Re: Rom Bios?
  5. Message-ID: <ABzlhQgO91@vl.ts.kiev.ua>
  6. Lines: 42
  7. Sender: news-service@kiae.su
  8. Reply-To: als@vl.ts.kiev.ua
  9. Organization: TechnoSoft
  10. References: <147fglINNdi7@matt.ksu.ksu.edu>
  11. Date: Mon, 20 Jul 92 09:13:33 -0400
  12.  
  13. >   Boris Tyshkiewitch <btysh@aha.msk.su> writes:
  14. >
  15. >   > FMnzf> presumably because it is *not* possible to find the BIOS one with any
  16. >   > FMnzf> certainty.
  17. >
  18. >   >Why? Theare are a well known techology to find a real interupts vectors. This
  19. >   >technology used in virus and antivirus software. So make own small debbuger
  20. >
  21. >   > 1.  Install vector Int 1h - single step interrupt.
  22. >   > 2.  set the sengle step flag
  23. >   > 3.  Execute interrupt You are interesting in.
  24. >   > 4.  Monitor CS:IP address until it points to ROM ( 0F000:?????)
  25. >   >     This is the entry to the roms int. handler.
  26. >
  27.  
  28.   It's not so easy as looks, especially when talking about virus and
  29. antivirus software. There are at least three methods to foolish this
  30. algorithm:
  31.  
  32.     1. If virus or antivirus sets OFF the single step flag. It's not
  33.        very hard to do, if it can intercept interrupt You are interesting in
  34.        before your debugger;
  35.  
  36.     2. More interesting idea: programm in interrupt chain before
  37.        installation makes scan of the part of memory from 0F000:0000
  38.        to find code of RET FAR. Then program in its codes
  39.        belonging to interrupt chain makes FAR CALL to this position.
  40.        Your debugger would be very happy to find this RET FAR in
  41.        BIOS, but you would not be so happy in that case :-)
  42.  
  43.     3. EMM386.SYS in DOS 5.0 and QEMM.SYS from DesQView are able to
  44.        load programms into UMB (Upper Memory Blocks), even "replacing"
  45.        BIOS by their "stealth technology". The addresses of these
  46.        programms can be any except only video memory, so 0F000:0000
  47.        may be not ROM but RAM.
  48.  
  49. -- 
  50. Alexander Shehovtsov,      (044) 266-70-28 (9:00 - 18:00 Kiev, Ukraine) voice
  51.            als@vl.ts.kiev.ua    Relcom | 2:463/30.5  or  2:463/34.4   FidoNet
  52.                                                        
  53.  
  54.  
  55.