.text:00011019          mov    [edx+8], eax

.text:0001101C          mov    [eax+4], aSystemrootSyst

.text:0001101C                                     ; "\SystemRoot\system32\drivers\inf.sys"

.text:00011023          push   1200h

.text:00011028          push   0

.text:0001102D          call   ExAllocatePool

.text:00011032          or     eax, eax

.text:00011034          jnz    short loc_1103E

.text:00011036          mov    eax

Смотрите! В то время как «хорошая» программа лениво опрашивает текущую версию операционной системы и иже с ней, зловредный вирус сломя голову несется в объятья драйвера inf.sys. Правильные программы так себя не ведут и коварность вирусных планов разоблачается с первого взгляда!

Разумеется, отсутствие стартового кода еще не есть свидетельство вируса! Быть может, исследуемый файл был упакован или разработчик применил нестандартный компилятор или набор библиотек. Ну с упаковкой мы уже разобрались, а с идентификацией компилятора поможет справиться IDA и наш личный опыт (замечание: текущие версии IDA PRO определяют версию компилятора непосредственно по стартовому коду, и, если он отсутствует или был изменен, механизм распознавания дезактивируется и поиском подходящей библиотеки сигнатур нам приходится заниматься вручную, через меню «File –> Load file –> FLIRT signature file»). И, если обнаружится, что нормальный start-up у файла все-таки есть, но выполнение программы начинается не с него, шансы на присутствие вируса значительно возрастут!

Троянские программы, в большинстве своем написанные на языках высокого уровня, имеют вполне стандартный Start-Up и потому на такую наживку не обнаруживаются. Взять, например, того же Kilez, стартовый код которого выглядит так:

Листинг 4. Червь I-Worm.Kilez.h имеет стандартный стартовый код

.text:00408458 start    proc near

.text:00408458          push   ebp                 ; sub_408458

.text:00408459          mov    ebp, esp