Сегодня, когда ассемблерные вирусы становятся музейной редкостью, такой способ отождествления мало-помалу перестает работать, однако до полного списывания в утиль дело не дошло.

Строго говоря, никаких формальных признаков «нормального» start-up не существует и каждый разработчик волен реализовывать его по-своему. Однако редкий разработчик цепляет к программе свой собственный start-up и все чаще для этих целей используется библиотечный стартовый код, поставляемый вместе с компилятором. Несмотря на то что даже в рамках одного-единственного компилятора существует множество разновидностей стартового кода, все они легко узнаваемы, и факт отсутствия стартового кода надежно обнаруживается даже самыми начинающими из исследователей!

Приблизительная структура типичного стартового кода такова: сначала идет пролог, затем настройка обработчика структурных исключений (для Си++ программ), обнаруживающая себя по обращению к сегментному регистру FS. Далее следует вызов функций GetVersion (GetVersionEx), GetModuleHandleA и GetStartupInfoA. Подробнее об идентификации стартового кода можно прочитать в книге «Фундаментальные основы хакерства» Криса Касперски или в «Hacker Disassembling Uncovered» его же.

Здесь же мы не можем позволить себе подробно останавливаться на этом обширном вопросе и просто сравним start-up код нормальной программы с кодом вируса Win2K.Inta.1676:

Листинг 2. Так выглядит нормальный start-up от Microsoft Visual C++ 6.0…

.text:00401670 start    proc near

.text:00401670          push   ebp

.text:00401671          mov    ebp, esp

.text:00401673          push   0FFFFFFFFh

.text:00401675          push   offset stru_420218

.text:0040167A          push   offset __except_handler3

.text:0040167F          mov    eax, large fs:0

.text:00401685          push   eax

.text:00401686          mov    large fs:0, esp

.text:00401696          call   ds:GetVersion   ; Get current version number of Windows

.text:004016EC          push   0

.text:004016EE          call   __heap_init