Что круче полиморфа

Это понятия относительно конечного кода. Пермутация - это интеграция своего кода в чужой. Выполняется ресерч модуля и в него внедряется вредоносный код. Ну в общих чертах. Это сложный анализ, ребилдинг графа(как мистфаль), пересчёт сегментов, регистров и пр. Данный способ инфекта совершенен, ни один авер не сможет развернуть код и определить сигнатуру. Но он слишком сложен в реализации, тоесть школота которая может кричать про сигнатуры с пеной у рта тут отваливается, само понятие сигнатур в данном случае не приемлимо. В мистфале кстате изза неполноценной мутации возникает детект при скане, это палятся проверки пе-хидера и пр.

 

сложно сделать код, который будет покрывать достаточное кол-во exe'шников без релоков. отделить на 100% в любых попадающихся файлах код от данных практически не реально без построения control-flow graph на исполнении заражаемого файла либо без ебического эмулятора.

 

сударь, а вы уже реализовали?

 

Дык ведь количество эквивалентных замен не бесконечно... следовательно все комбинации можно перебрать и составить серию сигнатур на один метаморф? Будет детектиться при сигнатурном анализе? Или я чёта недопонимаю?

 

Clerk

Еслиб вы смотрели реализацию мистфаля такихбы утверждений небыло.

"способ инфекта совершенен"
Вопервых данный способ инфекта далеко не совершенен, потомучто далеко не все файлы подходят под инфект, далеко не во всех файлах хватает места чтоб разместить свой код, далеко не везде вообще можна размещать код (прверки црц, подписи файлов и.т.д.) отсюда вывод что для заражения остает только малый сегмент файлов определенного размера определенной структуры и копмилятора.

В мистфале проблема на проблеме, вопервых в код интегрируется маленький декриптор основного функционала хоть у него и плохая мутация проблема не велика, все остальное тело просто криптованое, и находится всегда в одном месте (вот с основным функционалом с размещением тут и проблемка), найти криптованый кусок в файле не проблема, структура размещения пакованых данных одинаковая. Дальше нашли пакованый код, дальше то что вы так любите составили ГРАФ (прикиньте по ту сторону тоже гуманоиды оказывается) всех обращений к этому пакованому кода дальше смещаясь вверх вниз по нему пропарсили остальной код и проблемы детекта не будет. И то это слишком сложно мистфал детектится за 3и часа с нуля.

А теперь подумайте скоко зомбо потратил на этот сложный анализ и прочие проблемы пока отдебажил и.т.д. а в итоге потребовалось 3и часа времени на его детект.

 

Я думаю ,что у всех способах основанных на переработке самого себе есть один ключевой недостаток, его можно коротко изложить так, чтобы "переработать" код, нужен код который сложней перерабатываемого те сам себя переработать на достаточном уровне он не может. Да и вообще пока рулит шифрования, не вижу вообще причин чтобы применят "преобразования" к телу. Ну хоть убей не вижу.

 

PaCHER
да меньше слушайте этого 3.14zyesбола клерка, на его персональном айбиэмписи все возможно и все работает.

 

PaCHER
Смотрели мы реализацию. Это самый первый в своём роде пермутатор, так что недостатков там тоже не мало. И весь модуль реверсить не нужно, достаточно некоторого участка не по далёку от еп. А детект выполняется по сигнатурам, тоесть тупо хэш от строки, очень много хэшей. Если сомневаете, то прогоните свой зловредный код через какойнибудь двиг, например через GCBE(он тоже может быть отморфлен самим собой) и разбавьте мусором, примитивного нопогенератора и дробления инструкций(замена на более короткие аналоги) будет достаточно для того, чтобы сигнатуру нельзя было создать. Вы просто берёте за идеал классическую малварь.

 

Да. Именно так. Все правильно. А кто обещал, что возможны абсолютно недетектируемые сигнатурным методом полиморфы и метаморфы? Плюньте ему в глаза. Сигнатуры всесильны. ))
Просто количество вариантов будет огромным и нереализуемым при современном развитии вычтехники. Это, в общем случае, NP-сложная задача. Есть цикл статей французов Бонфана и Кочмарека, в которой все это строго математически обосновывается.