Come posso rilevare il codice autoesecutivo non crittografato nelle immagini JPEG?

Questo è il caso facile per software anti-virus .

Tuttavia, non supporre che un malware debba essere non crittografato per essere eseguibile. Il codice Polymorphic porta l'autodecryption ai malware, può essere aiutato da Metamorphism per garantire che anche l'inizio della routine di decodifica, poiché deve esserci effettivamente un punto di partenza non criptato, non presenta alcun modello costante riconoscibile.

Sta cercando di combattere questo tipo di metodi che rendono il software anti-virus un programma complesso.

Tale codice dovrebbe necessariamente sfruttare un buffer overflow o un altro trucco di salto dati-codice. In quanto tale, sarà efficace solo contro una gamma limitata di hardware. In questo modo puoi eseguire un controllo di sfilacciamento JPEG scritto, per esempio, su ARM in un dispositivo virtualizzato. L'exploit sarà inefficace rispetto alla CPU emulata, che sarà quindi in grado di generare report sulla struttura JPEG .... sia che contenga blocchi di immagini illegali o, molto più probabile, corretti tag APP. Anche se il codice virtualizzato è vulnerabile, poiché l'exploit ha come target una libreria che è stata trasferita all'architettura emulata, ad esempio, libexif, il carico utile di exploit si troverà nel linguaggio della CPU esterna e quindi sarà inefficace. Su alcune macchine virtuali sarai in grado di controllare quali indirizzi contengono i dati corrotti.