संक्रमित कंपाइलर, या खराब कार्य?

Question

मुझे कुछ बहुत अजीब सामना करना पड़ा है, और चीजें बस जोड़ नहीं रही हैं। सबसे पहले, मैंने इसे यहां पोस्ट किया क्योंकि मुझे यकीन नहीं है कि कंप्यूटर वायरस के साथ इसका कोई संबंध नहीं है। और यदि ऐसा होता है, तो क्या आप कृपया मदद पाने के लिए मुझे किसी स्थान पर भेज सकते हैं?

तो अब:

मैं यहाँ अजीब समस्या किसी तरह का आ रही है, दोनों मेरे एंटी वायरस और Malwarebytes झंडा कोड * एक वायरस के रूप में MASM और MASM उदाहरण के साथ संकलित। मैंने गुमराह किया है और पाया है कि यह समस्या पहले हो गई है इसलिए मैंने इसे बहुत गंभीरता से नहीं लिया और पहले सोचा कि यह झूठा सकारात्मक था।

लेकिन मैंने इस पोस्ट के निचले हिस्से में आपके द्वारा देखी गई कोड को संकलित करने के लिए कुछ अन्य चीजों का परीक्षण करने के लिए संकलित किया। और मैं यह OllyDbg से होकर गुजरता था (इस बीच मेरी Comodo एंटी-वायरस अनदेखी) और फिर मैं इस देखा:

00401000 > -E9 FBEF6F71 JMP 71B00000 ; this is a weird jump I did not put there 
00401005  90    NOP 
00401006  8BC0   MOV EAX,EAX 
00401008 . 8BD8   MOV EBX,EAX 
0040100A . 33D9   XOR EBX,ECX 
0040100C . 8BC3   MOV EAX,EBX 
0040100E . 03CB   ADD ECX,EBX 
00401010 . 33C3   XOR EAX,EBX 
00401012 . 2BC1   SUB EAX,ECX 
00401014 . 8BCB   MOV ECX,EBX 
00401016 . 33D9   XOR EBX,ECX 

नीचे कोड संभवतः कि कूद में संकलित नहीं कर सकता है, तो मैं कोड करने के लिए आगे बढ़ रहा था। और थोड़ी देर बाद मैंने देखा कि अजीब कोड ntdll.dll लाइब्रेरी में एपीआई के माध्यम से गणना करना शुरू कर दिया। क्या हो रहा है? यदि यह वास्तव में एक वायरस है जहां सहायता प्राप्त करें?

लेकिन मैं अभी भी यकीन नहीं है, दोनों Comodo और Malwarebytes फ़्लैग केवल एक वायरस

टेस्ट कोड मैं परीक्षण करने के लिए उपयोग कर रहा था के रूप में वायरस के रूप में उदाहरण के लिए, लेकिन नहीं फ़ाइल (test.exe) ...

*: शामिल \ masm32 \ शामिल \ masm32rt.inc

.data 

.code 

Start: 

nop 
nop 
nop 
nop 
nop 
nop 

mov eax, eax 
mov ebx, eax 
xor ebx, ecx 
mov eax, ebx 
add ecx, ebx 
xor eax, ebx 
sub eax, ecx 
mov ecx, ebx 
xor ebx, ecx 

invoke ExitProcess, 0h 


end Start 

अद्यतन:

कोड डिस्क पर नहीं है, लेकिन स्मृति में है, तो यह शायद यह कर किसी प्रकार का एक पुस्तकालय है:

Disassembly 

00401000     start: 
00401000 90      nop 
00401001 90      nop 
00401002 90      nop 
00401003 90      nop 
00401004 90      nop 
00401005 90      nop 

और मैं आह्वान बाहर निकलने की प्रक्रिया को हटा दिया है और यह अभी भी वहाँ

Answer 1

अस्पष्टीकृत कूद के बारे में

, masm32.com पर this thread को गूगल नेतृत्व पर एक त्वरित खोज जो रोचक जानकारी प्रदान करने के लिए लगता है, और most notably:

"COMODO" इंटरनेट सुरक्षा दोषी है।
यह एक अद्वितीय आंशिक "sanbox" को लागू करने के लिए फ्लाई पर एक्जिक्यूटिव को संशोधित कर रहा है।

Answer 2

है पता 71 बी 00000 आपके वर्तमान कोड से बहुत दूर है, जांचें कि यह वास्तव में कुछ अन्य लोड मॉड्यूल के अंदर है या नहीं। invoke मैक्रो (या बस डीएलएल का उपयोग करके) का दुष्प्रभाव भी हो सकता है - चूंकि ExitProcess डीएलएल से आयात किया जाता है)। कोशिश करें कि क्या होता है यदि आप इसे एक साधारण अंतहीन पाश के साथ प्रतिस्थापित करते हैं, यानी। JMP . या somesuch। इसके बाद आपको अपने प्रोग्राम को मैन्युअल रूप से मारना होगा, लेकिन निश्चित रूप से एक दिलचस्प डेटा पॉइंट होगा। साथ ही, डिस्क पर अपनी exe फ़ाइल की जांच करें कि यह देखने के लिए कि पहले से ही JMP है या नहीं।