*   >> Lese Utdanning Artikler >> tech >> internet

Omgå Antivirus Via Transmutation

Forskere ved Kumatori Accelerator-drevet Reactor Test Facility (KART) (Economist artikkelen, hvis du abonnerer) har oppdaget en måte å tvangs forfallet radioaktivt avfall (neptunium, plutonium, americium, Curium, etc.) i mindre -lethal isotoper av elementer som bare er radioaktivt i mange år, i stedet for titusener eller titalls millioner år. I hovedsak de smeller radioaktivt avfall, med en nøytron-bjelke som tilfører masse til det radioaktive avfall, forårsaker den til transmutate inn i et annet element, som i sin tur får den til å forfalle raskere.

Dette fikk meg til å tenke, hvis du kan smelle et element med et nøytron bjelke å ​​opprette et nytt element, vel, kanskje du kan gjøre det samme til en fil for å unngå "pesky Anti-Virus"? Vel, synes det du kan. Et godt eksempel på dette er hellige fars Morphine. Morfin virker ved å inkludere sin egen PE laster. Dette gjør det mulig å sette hele kildebildet til .text delen av nye PE-fil. Den inneholder også en polymorf motor som alltid skaper helt forskjellig decryptor for den nye PE fil hver gang Morphine kjøres.

Morfin ble utgitt i mars 2004, og de store Antivirus selskapene ikke har en metode for generisk Oppdage "Morphined" kjør før Q4 2005. Den private versjon av morfin fortsatt skaper verisons av binærfiler som er usynlige for hver Antivirus maker på markedet. Andre ideer er rett og slett å omorganisere kjørbar slik at den gjør essentally "det samme", men endre de underliggende instruksjoner av binære. Et eksempel kan være å flytte verdien i EDX registeret inn i EAX register. Vanligvis programmet ville gjøre en mov EDX, eax instruksjon for å oppnå dette.

Vel, vil en push eax etterfulgt av en pop EDX gjøre effektivt det samme som en mov EDX, eax --- ta verdien i EDX og sette det inn EAX. Du ser hvor jeg går her, kan vi helt endre den statiske signaturen til den binære i denne prosessen. Men, virker det .... .... Vel, egentlig ikke. Hvis jeg tar en tre byte instruksjon (mov EDX, eax) og erstatte den med to 2 byte instruksjoner (push-EAX og pop EDX), har jeg endret forskyvningen i programmet ved en byte. Dette betyr at hver hopp, vil hver samtale i programmet være av ved en byte, noe som betyr at programmet vil ikke lenger fungere.

Tre mulige løsninger på dette problemet: 1. bare erstatte lik størrelse instruksjoner 2. Beregn alle hopp og samtaler etter innsetting eller sletting av det totale antall bytes. 3. Skriv vår egen trojan /virus, eller hva vi prøver å oppnå (ikke fokus for denne artikkelen sk

Page   <<       [1] [2] [3] >>
Copyright © 2008 - 2016 Lese Utdanning Artikler,https://utdanning.nmjjxx.com All rights reserved.