In che modo gli algoritmi crittografici aiutano gli hacker a bypassare il software antivirus?

Naviga le tue risposte
5

Mi chiedevo in che modo gli hacker utilizzano la crittografia per aggirare il software antivirus.

Non ho una profonda conoscenza del funzionamento del software antivirus, ma so che ogni antivirus ha una base di firme, quindi quando eseguiamo la scansione del file .exe in realtà confronta la firma di .exe con le firme nella sua stessa base, e se corrisponde, l'antivirus identificherà .exe come virus.

Quindi applicando alcuni algoritmi crittografici su file .exe (usando lo strumento "Crypter"), cambiano la firma di .exe, quindi l'antivirus non può rilevarlo come malware, giusto? Ma concretamente, come applicano l'algoritmo crittografico sul file .exe? Ho visto solo nel mio libro come il testo semplice è criptato.

    
posta etf 27.06.2015 - 16:39
fonte

2 risposte

2

La crittografia dei file eseguibili è piuttosto un'offuscamento rispetto alla crittografia reale, dal momento che il file crittografato deve ancora essere eseguito. Quindi la parte "decryptor" deve conoscere l'algoritmo di decrittazione e / o la chiave.

Il software antivirus ha:

  • vari emulatori, per codice x86, codice x64, codice JavaScript normalizzato ecc.

  • vari decodificatori / decompressori per tutti i "crypters" e gli archivi noti al fornitore di antivirus (ad esempio ESET ha 1228 decodificatori / decompressori per ora)

Per quanto riguarda la tua domanda: fondamentalmente la corrispondenza delle firme viene eseguita dopo decompressione, decrittografia ecc., quando il motore antivirus rileva che non ci sono più noti livelli di archiviazione / crittografia / offuscamento per il file corrente.

Tuttavia ci sono 2 eccezioni:

  1. Esistono virus modulari, ad es. Flame, in cui solo un modulo ha la chiave di decodifica per un altro modulo, che ha la chiave di decodifica per un altro modulo e così via. La cattura di tali virus richiede la scrittura di codice dedicato nel motore antivirus.

  2. Esistono virus ransomware che, pur non essendo crittografati, possono crittografare file casuali sul computer infetto in modo che nessuno, tranne l'autore del virus, abbia la chiave di decodifica. I file crittografati da tali virus non sono recuperabili dal software antivirus.

risposta data 27.06.2015 - 19:21
fonte
1

Per dirla semplicemente, un utente malintenzionato può creare un file eseguibile che contiene un virus crittografato. Quando l'eseguibile viene scaricato nel computer delle vittime, non viene rilevato come virus perché la parte errata è crittografata. Quando l'utente fa clic sul file, l'eseguibile esterno caricherà i dati crittografati in memoria e decrittografarli, quindi eseguirli, utilizzando tutta la RAM in modo che non tocchi mai il disco rigido. L'antivirus non lo rileverà a causa di questo a meno che non abbia una protezione a tempo parziale. A seconda dell'antivirus utilizzato, è spesso possibile escludere il rilevamento in fase di esecuzione della mia chiamata thread.sleep ('10 '); o qualcosa di simile. Quando si fa clic sul file eseguibile, attende 10 secondi e quindi esegue il file crittografato.

    
risposta data 29.06.2015 - 05:38
fonte

Leggi altre domande sui tag

Le immagini create con software commerciale sono timbrate con identificatori che possono essere ricondotte a un numero seriale? Come memorizzare in modo sicuro i token bearer sul server?