Se un virus si riscrive da solo per ciascuna infezione, come potrebbe sapere se ha infettato un file o no? Se continua a infettare lo stesso file, presto tutta la struttura del file sarà corrotta. Ad esempio, come Simile o Sality sapere se ha infettato un file o no?
EDIT: non possono controllare qualcosa di semplice come "se aggiungono 'kkk' alla fine del file" altrimenti AV lo controllerebbe e l'intero scopo di essere polimorfico / metamorfico ecc. verrebbe sconfitto.
Il testo di Eric Filiol Metamorfismo, grammatiche formali e indecidibile La mutazione del codice mostra che è praticamente impossibile per un virus sapere se una copia metamorfizzata di se stesso ha infettato un file. Sic transit gloria anti-virus.
'kkk' sarebbe crittografato.
Un virus crittografato nasconde la firma del virus (corpo) crittografando il virus con una chiave diversa da infezione a infezione, rendendolo quindi irriconoscibile. Un problema con la crittografia dei virus era che l'algoritmo di decrittografia rimane costante. Il maligno virus polimorfico lo contamina con un motore di mutazione che genera routine di decrittazione randomizzate. Il motore di mutazione e il corpo del virus sono quindi entrambi crittografati. (Un virus metamorfico si riscrive completamente.)
Quindi, se volevano contrassegnare un eseguibile infetto con una stringa come "kkk", potevano (anche se ci sono modi migliori).
I malware usano segni semplici.
Ho visto un tempo di creazione del file di modifica, azzerando la parte dei secondi come il segno di infezione.
"... EDIT: non possono controllare qualcosa di semplice come ... altrimenti AV lo controllerebbe e l'intero scopo di essere polimorfico / metamorfico, ecc. verrebbe sconfitto."
L'algoritmo di rilevamento antimalware non può dipendere da semplici segni di malware. Le implicazioni false positive possono causare scompiglio in tutto il mondo.
Leggi altre domande sui tag virus antivirus file-system