Perché eseguire ondemand scanner in modalità failsafe quando il virus potrebbe essere crittografato da solo?

Question

Perché eseguire ondemand scanner in modalità failsafe quando il virus potrebbe essere crittografato da solo?

#1 da (3 voti)

3

Internet è pieno di guide su come rimuovere malware sui computer già infetti. Normalmente, il passaggio 1 deve entrare in modalità failsafe, in modo che il virus non possa interferire facilmente con il programma antivirus. Ma se sei stato infettato, hai spento il computer, quindi il virus potrebbe avere il tempo di crittografare se stesso. E quando in seguito esegui la scansione del tuo computer in modalità failsafe, il programma antivirus non riesce a trovare i dati crittografati dal virus.

La mia domanda è la seguente: se un virus ha fatto tutto quanto sopra, lo renderebbe non rilevabile, o l'AV troverà il modulo di decrittografia e quindi rileverà il virus?

Grazie in anticipo!

encryption malware

posta Smith 16.07.2014 - 13:11

fonte

1 risposta

Leggi altre domande sui tag encryption malware

Metasploit Pivoting su loopback? Metodi per iniettare DLL dannose per eseguire il file exe ed eseguirlo

score 3 · Answer 1

Questa è una domanda molto ampia. Come non hai mai parlato del tipo di crittografia, sia esso basato su file o basato sulla memoria e così via.

Risposta breve: No, solo perché usa la crittografia non significa che non sia rilevabile.

Risposta lunga: Sarà tuttavia probabile che non sia rilevabile fino a quando il fornitore AV non effettuerà manualmente il reverse engineering e genererà alcune forme di firma da rilevare (firme byte, checksum e così via)

Parliamo della tua crittografia personale. Questo può essere fatto in molti modi. Ho intenzione di indovinare che stai parlando di crittografia dei file.

Quindi, Virus.exe si crittografa da solo, il che è molto complesso in quanto sarà necessario crittografare tutte le sezioni (.text, .data e così via) e cambiare OEP (Original Entry Point) in una routine di auto decrittografia. L'intero file ha cambiato checksum ma non cambierà più.

Potresti anche andare più avanzato e crittografare se stesso ogni esecuzione (codice polimorfico) che si crittografa ma la routine di auto decrittografia che ora sarà all'EP (Entry Point) può essere usata come firma di byte per rilevare il malware come questo deve essere statico indipendentemente dalla chiave che si usa per decrittografarlo. Altrimenti, come farebbe a decifrare se stesso?

Potresti anche andare più in profondità in diverse forme di codice polimorfico, codice metamorfico, codice offuscato e così via, ma non so esattamente cosa stai chiedendo. In entrambi i casi, indipendentemente dal metodo utilizzato per crittografare qualsiasi forma di sé, i produttori di AV potranno lasciare le firme per effettuare il reverse engineering manuale e infine per rilevare. La domanda è: per quanto tempo il malware selvaggio rimarrà nascosto prima che venga inviato a un fornitore di AV per ottenere il reverse engineering e per quanto tempo impiegherà il team di reverse engineer per trovare le firme statiche che possono usare per identificare il malware.

Se questo non risponde alla tua domanda, lascia un commento o aggiorna la tua domanda con il tipo effettivo di crittografia di cui stai parlando e aggiornerò la mia risposta.