在计算机恶意软件中,自我修改的方法是否比现代的变态方法更复杂?
Geffner非常有趣,它处理有问题的逆向工程技术。有了简单的代码,就可以创建检测机制吗?我了解这对于多态性(存在底层未保护层)或对于VM。但是,可以更改该基础层的代码(例如变质代码)呢(请参见上面的参考资料)呢?我还想知道,过去十年左右以来是否存在先进的变质技术,或者这种自我修饰类型已经灭绝?
Edit2
由于我也无法发表评论少了几个朋友,杰森:我打算问这个问题,这是我最初的问题。您提供的信息很有趣,但不幸的是,它并不能完全回答我的口头问题(看来我说得不够好)。通过上面的编辑,我想澄清我想知道的内容。我认为不需要新的问题,因为这是最初打算解决的问题,您同意吗?
#1 楼
变态并没有被用来混淆,而被用来破坏静态AV签名。就现代*混淆而言:
自定义虚拟机进行分析可能会很痛苦,特别是如果它是定制的(与像VMProtect这样的东西进行了更广泛的研究)。常见的逆向工程工具是针对用户模式目标设计的。
整块打包(并非同时对所有代码进行模糊处理)可能难以分析。
还有很多其他方法我确信其他混淆会在此线程上命名:)
尽管您没有对此提出疑问,但现代*多态技术是服务器端多态,其中多态引擎在远程服务器上,它用于删除数百万个恶意软件样本的变种。
*请注意,此上下文中的“现代” xt表示过去10年左右。
评论
关于虚拟机的说明:Themida等各种保护程序可以使用多个链接的随机虚拟机。例如,模拟随机VM“ B”的随机VM“ A”,等等。。。
– joxeankoret
2014年9月8日在7:12
杰森:感谢您的回答,很遗憾,它不能回答我的原始问题(涉及变质,您谈论的是混淆技术)。您能否也提及有关原始问题的内容?会很有趣! :)
–马里奥·克伦(Mario Krenn)
2014年9月18日于18:04
在您更改问题之前,我确实回答了您的原始问题:)每个帖子只问一个问题。
–詹森·格夫纳(Jason Geffner)
2014年9月18日在18:09
评论
每个帖子一个问题:)请为上面的“编辑”创建一个新问题-reverseengineering.stackexchange.com/questions/ask