Sto lavorando a un progetto uni dove cercherò di creare un malware che utilizza una qualche forma di algoritmo genetico per "evolversi" da solo non riconosciuto da un software AV basato sulla firma.
Per questo avrò bisogno di programmare il mio piccolo AV programmato per rilevare il ceppo del malware. Quindi la mia domanda è, quali sono i modelli di ricerca basata sulla firma?
Posso pensare a stringhe di testo nel file, dimensione del file.
La maggior parte delle soluzioni antivirus utilizza una varietà di tecniche per identificare il malware.
L'approccio più semplice (e meno recente) è quello di utilizzare firme di malware noti come gli hash MD5 / SHA1 o stringhe specifiche nei binari. Questa tecnica ha funzionato con maggior successo con malware precedenti che non avevano il numero di varianti che vediamo oggi.
Quindi abbiamo un'analisi statica euristica. Funziona analizzando i file e cercando funzionalità sospette come packer, codice oscurato, importazioni di librerie specifiche, ecc. Si potrebbe dire che questo è il più vicino ai "pattern" di cui si sta parlando. Uno potrebbe scrivere malware e modificarlo fino a quando non viene rilevato dall'euristica del malware più comune. Questi pattern e algoritmi sono segreti strettamente custoditi di ciascun fornitore di antivirus e difficilmente li condivideranno oltre le spiegazioni generiche.
L'ultima forma di identificazione del malware è attraverso l'analisi euristica dinamica. Questo è quando il malware viene eseguito in una sandbox e l'antivirus esamina il software. Guarda le librerie che chiama, le azioni che esegue, se cerca di nascondersi, se crea voci di registro ecc. Ci sono molti modi per evitare l'identificazione attraverso l'analisi dinamica che sono troppo approfonditi per questa risposta, è sufficiente per dì che può essere aggirato.
TL; DR nessuno può dirti esattamente quali sono i pattern per ogni programma antivirus. Ci sono alcune cose generiche che tutti cercano, ma i dettagli sono segreti.
Una proficua linea di indagine per questo probabilmente riguarderebbe il modo in cui gli altri quadri di evasione A-V gestiscono il problema. I fornitori di AFAIK AV non rendono completamente aperto ciò che cercano e questo potrebbe variare il fornitore al fornitore.
Veil Framework è un esempio recente di esclusione dell'AV, anche Avoid , vedi anche questo post
Scarica il repo git delle regole yara. Esamina ogni stringa di file .yar. Puoi essere sicuro che se riesci a creare un malware con stringhe diverse da questo, il tuo malware può eludere il 99% delle suite di sicurezza.