data:0040F2A7 aSoftwareMicr_0  db 'SoftwareMicrosoftWABWAB4Wab File Name',0

data:0040F2D1 aRunservices     db 'RunServices',0

data:0040F2DD aInternetSettin  db 'Internet SettingsCachePaths',0

data:0040F302 aHi              db 'Hi,',0

data:0040F306 aHello           db 'Hello,',0

data:0040F30D aRe              db 'Re:',0

data:0040F311 aFw              db 'Fw:',0

data:0040F315 aUndeliverableM  db 'Undeliverable mail--"%s"',0

data:0040F32E aReturnedMailS   db 'Returned mail--"%s"',0

Рисунок 3. Фрагмент вируса I-Worm.Kilez.e, текстовые строки содержащиеся в теле которого выдают агрессивные намерения последнего с головой

Конечно, все это еще не свидетельство наличия вируса (троянской программы), а отсутствие компрометирующих программу текстовых строк – не гарант ее лояльности, но… просто поразительно, какое количество современных вирусов ловится таким элементарным способом. Не иначе как снижение культуры программирования дает о себе знать? Действительно, подавляющее большинство программ (и зловредных программ в том числе) сегодня разрабатывается на языках высокого уровня, и программисты не дают себе труда хоть как-то скрыть «уши», торчащие из секции данных (не знают, как это сделать?). Откомпилированная программа просто шифруется статическими упаковщиками, которые легко поддаются автоматической/полуавтоматической распаковке, выдавая исследователю исходный дамп со всеми текстовыми строками на поверхности (см. раздел «Идентификация упаковщика и автоматическая распаковка»).

Выше в качестве примера приведен фрагмент вируса I-Worm.Kiliez.e, на малоизвестность которого жаловаться не приходится (вах! как трудно взглянуть на дамп того, что вы запускаете!).

Идентификация упаковщика и автоматическая распаковка

Упаковка исполняемых файлов «навесными» упаковщиками была широко распространена еще во времена господства MS-DOS и преследовала собой следующие цели:

n  уменьшение размеров программы на диске;

n  сокрытие текстовых строк от посторонних глаз;

n  затруднение анализа программы;