Esiste un virus che ha tentato di sventare le tecniche di decrittografia generica e come è stato fatto?

1

C'è un virus che ha tentato di sventare le tecniche di decrittografia generica? Come è stato fatto?
Ho bisogno di conoscere il nome del virus, perché ho provato a cercare e non sono in grado di individuare alcun virus che lo abbia fatto, e il meccanismo del virus non è definito neanche.

    
posta jagpreet singh 25.04.2015 - 09:48
fonte

1 risposta

1

Grazie per il link, è davvero una domanda interessante. Non sono un esperto di virus, ma so dalla lettura precedente so che dal documento che hai citato, ho un problema con la frase "All'interno di questo computer virtuale, i file di programma eseguono come se fossero in esecuzione su un computer reale "che suona semplicemente come semplificazione del marketing al mio ascolto.

In effetti, il problema con questo sistema è che se l'anti-virus dovesse implementare una macchina virtuale a pieno regime per eseguire il virus in un ambiente sandboxing non rilevabile, implementare davvero un ambiente di computer completo, allora sarebbe davvero troppo ricco di risorse . Pertanto, il progettista anti-virus deve trovare un compromesso: quale chiamata di sistema dovrebbe essere implementata, che dovrebbe essere solo uno stub, che tipo di valori dovrebbero essere restituiti, ecc.

Partendo da ciò, il progettista di virus si baserà su questi presupposti per provare a rilevare:

  • Quando il codice del virus viene eseguito dall'interno della sandbox antivirus (esempio banale: chiama alcune funzioni di sistema più volte e confronta i risultati che dovrebbero essere diversi su un sistema reale e sono sempre gli stessi a causa dell'antivirus " sandbox stub), in questo caso non attiverà l'algoritmo di decodifica e rimarrà non rilevabile,
  • Quando il codice del virus viene eseguito sul sistema reale, in questo caso il virus attiverà il suo carico.

E i prossimi passaggi logici sono solo una corsa agli armamenti. I produttori di antivirus cercano di ingannare o riconoscere le routine di rilevamento dei sandbox dei virus e i progettisti di virus cercano di trovare diversi modi alternativi per rilevare la sandbox e così via ...

Modifica : È interessante notare che il documento continua e riconosce il problema di velocità che interessa il modello ideale "come se si stesse eseguendo su un computer reale" ( "il problema chiave con la decrittografia generica è la velocità ", pagina 8). Sostituisce quindi questo modello ideale con un modello euristico, concludendo con la "versione di marketing" della corsa agli armamenti di cui ho parlato: "l'euristica richiede continua ricerca e aggiornamento" .

    
risposta data 25.04.2015 - 11:10
fonte

Leggi altre domande sui tag