Сравнителен анализ на евристични анализатори
Xakep # 239. Отворете и разгледайте
Xakep # 238. Забравен Android
Xakep # 237. Darknet 2018
Xakep # 235. Прераждане на експлоатационни китове
Иска ми се да не беше скрито от теб.
Въпреки че в този случай нямаше да спечеля нищо.
Хамлет
Как работи анализаторът на код? Обикновено анализаторът на код е сдвоен с
съперник. Как изглежда в най-простия случай? Да кажем, че имаме полиморфни
вирус, състоящ се от кодирано тяло и декриптор. Kodemulator емулира
работата на този вирус по една инструкция в даден момент, след това анализатора на кода
изчислява контролната сума и я проверява със съхранената в базата данни.
Емулацията ще продължи, докато се изисква броенето
частта от контролната сума на вируса няма да бъде декриптирана. Ако подписът съвпада
- означава, че вирусът е идентифициран, можете да започнете да лекувате.
След бърз преглед е време да се захванете с бизнеса. Направих прост експеримент за
кои повторения ще ви трябват:
- TASM 5.0
- Тривиален вирус. На вируса се налага условие: той не трябва да присъства в базите данни, нито
dr.Web'a, нито AVP. Можете да намерите вирус за експеримента на
необятността на Интернет (например vx.netlux.org). Или го напишете сами ... - dr.Web и AVP
След всички приготовления ние събираме и свързваме вируса. След това трябва
проверете и двата ни антивирусни продукта върху него.