viruși deghizare, sacramente
Este suficient pentru anumite secvențe caracteristice ale virusului, cunoscut sub numele de semnături.
De exemplu, pentru virusul BAT.Batman caracteristică este următoarea secvență (pentru o descriere detaliată a virusului BAT.Batman vezi mai sus):
Pentru virusul WinWord.Concept o secvență caracteristică poate fi una dintre următoarele linii:
Cu toate acestea, nu toate virusurile se comportă atât de grosolan. Mulți dintre ei masca prezența lor, folosind diverse tehnici. Datorită selecției naturale de software antivirus are o șansă de a supraviețui doar cu viruși care utilizează o varietate de tehnici de mascare.
viruși polimorfici criptatăse
Pentru a complica detectarea, unele virusuri cripta codul lor. De fiecare dată când virusul infectează un nou program, Codeaza propriul său cod, utilizând noua cheie. Ca rezultat, două copii ale virusului poate diferi semnificativ unele de altele chiar să fie de lungimi diferite.
Desigur, virusul poate funcționa numai dacă codul executabil este descifrat. În cazul în care programul infectat este rulat (sau de a începe de încărcare de la o zona MBR infectate) și virusul devine de control, trebuie să descifreze codul lor.
Procedura de decriptare nu poate fi ea însăși criptate, în caz contrar nu va funcționa. Acest lucru este folosit de programe anti-virus, folosind ca un cod de decriptare semnătură de rutină.
Din păcate, crearea de viruși polimorfi poate nu numai programatori sunt cu înaltă calificare. Există mai multe instrumente de dezvoltare gata făcute astfel de virusuri. Acestea vă permit să dezvolte viruși polimorfi, fără o înțelegere a modului în care trecutul aranjat.
Structura mutației Motorul intră un modul obiect care urmează să fie conectat la virusul nou creat, o documentație detaliată, precum și un exemplu de utilizare a acestuia. Din cauza mutației motorului a primit o mulțime de viruși polimorfi. Printre ei MtE.CoffeeShop, MtE.Darkstar, MtE.Dedicated.
În urma mutației motorului au apărut câteva instrumente de dezvoltare viruși polimorfi care au un nivel diferit de sofisticare și de servicii:
· DSCE (inchis Slayer Confuzie Engine)
· GCAE (Cicada de Aur Motor anormal)
· SMEG (simulată metamorfice Encryption Generator)
· VICE (neregulate Virogen Cod motor)
Mă întreb ce este de dezvoltare națională AWME și a fost înființat în Kazan. Conform informațiilor noastre, AWME are ca scop contracararea Doctor program de Web antivirus. Mai multe despre acestea pot fi găsite în secțiunea «Doctor Web.“ AWME este distribuit sub formă de cod sursă în limbaj de asamblare.
Instrumente moderne anti-virus, cum ar fi Doctor Web, capabil nu numai pentru a identifica cu succes viruși polimorfi, dar, de asemenea, le elimina din programul infectat.
Codul de criptare al virusului complică foarte mult procesul de investigare. Programele convenționale nu va dezasambla acest virus. Oricine îndrăznește să înțeleagă virusul criptat va trebui să se ocupe de el, care transportă codul virusului este echipa din spatele pas cu pas echipa depanator.