Dove si trova il motore di mutazione nei virus metamorfici / polimorfici?

Naviga le tue risposte
1

Stavo leggendo di Metamorphic & virus polimorfici ..

a ciò che ho capito; entrambi utilizzano i motori di mutazione per evitare il rilevamento da parte degli antivirus, poiché il polimorfico crittografa \ decodifica il suo codice e la metamorfica genera un codice logico equivalente.

In base a quanto so, i virus sono oggetti maschili parassiti. cioè ha bisogno di un host per produrre copie di se stesso e non può agire in modo indipendente come i worm.

Quindi la mia domanda è, durante il ciclo di vita tipico del virus (infezione - duplicazione, attivazione del carico utile ecc.), dov'è il motore di mutazione in tutto questo? E quando un virus passa dal suo host ad un altro PC cosa succede al motore? E cosa succede al prossimo ospite nel primo ciclo, come può raggiungere la sua mutazione?

    
posta HSN 30.12.2012 - 02:55
fonte

2 risposte

3

Il motore di mutazione è contenuto nel corpo del virus.

È solo un altro modulo del virus. I virus hanno in genere un modulo di scansione dei file, un modulo di infezione, un modulo di mutazione, un modulo di carico utile e molti altri. In caso di infezione, il modulo di mutazione viene utilizzato per mutare tutti i suoi moduli e passarli all'host infetto.

I motori di mutazione sono per lo più presi di mira da motori antivirus perché hanno un comportamento tipico e vengono spesso utilizzati per più famiglie di malware infetto. Sono presi di mira anche perché sono mutati ogni settimana. Questo perché "mutare" il "mutatore" può portare a "mutazioni di mostri" cattive:)

    
risposta data 30.12.2012 - 10:17
fonte
1

Penso che le cose diventino un po 'più complesse ... Come oggi ogni host ha memoria sufficiente per consentire l'installazione di un virus grande, molto grande senza fare una grande impronta sulla memoria dell'host: Mentre un server potrebbe funzionare normalmente con una memoria da 24 GB come mutch potrebbe usare un virus prima che sia statisticamente visibile?

Ora c'è abbastanza spazio per contenere un compilatore C completo, motori analitici e molti pacchetti , come i motori di aggiornamento (come apt-get potrebbe fare in Debian, per esempio). Il virus installato può ora essere aggiornato per seguire gli sviluppi anti-virus e avere una reazione appropriata ...

Penso, (ma non ho alcuna prova), che la nuova generazione di virus polimorfici potrebbe crescere e diventare auto-versonizzata da solo ... (e forse attraverso alcuni repository nascosti per autorevoli aggiornamenti).

Nota: Anche la larghezza di banda sta crescendo, quindi con l'aiuto di un po 'di stegano (un altro pacchetto nell'installazione di virus), anche l'aggiornamento potrebbe essere strongmente nascosto.

Ma ... sono (un po ') paranoico e ho molta immaginazione.

    
risposta data 30.12.2012 - 12:29
fonte

Leggi altre domande sui tag

Informazioni sulla generazione di file Exe dagli script Metasploit Qualcuno può capire il metodo di crittografia?