1

次の署名をどのように達成するか知りたいです。私はオンラインで読んだことがありますが、(少なくとも過去には)研究者は「疑わしい」ファイルをバイナリコードに変換し、アセンブリに変換して調べ、異常と思われるコードのセクションを選択し、マシン内の対応するバイトを特定します。コード。

しかし、次のウイルス文字列シグネチャはどのように達成されますか?

MIRC.Julie = 6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50472e636f6d0a0d6e31333d207d0a0d6e31343d200a0d6e31353d206374637020313a70696e673a2f646363

また、(これは完全に狂ったように聞こえるかもしれませんが)上記の文字列は何かを意味する必要があります。アクションのシーケンス、実際のコードなどを推測することしかできません。したがって、アセンブリからこの形式(ウイルス署名)に一度「翻訳」された場合は、それを元に戻すことは可能ですか?

念のために、なぜ私でさえ奇妙な質問だと思うのかを尋ねているのか疑問に思うかもしれません。これが理由です...私は理学士の最終年度のコンピュータサイエンスプロジェクトを準備しています。この時点で、GA(遺伝的アルゴリズム)を使用してウイルスシグネチャを生成/推定/評価/予測できるかどうか疑問に思っています。多分それは私の質問を少し理解しやすくするのに役立つでしょう、私は願っています。

ありがとう!

4

2 に答える 2

3

通常、ウイルスの署名は暗号化されているため、元に戻すことはできません。それらを取得する方法は、実行可能ファイルからバイナリの悪意のあるコードを抽出し、それを16進表現に変換することです。うまくいけば

于 2010-11-03T00:22:13.983 に答える
2

表示されるウイルスシグネチャは、おそらくそれを生成したスキャナーに依存しています。すべてのウイルススキャナーがさまざまな方法で署名を作成していると信じるのは非常に簡単です。ソースがなければ、それがどのように開発されたかを説明する方法はありません。ソースがあったとしても、ウイルス開発者が検出を回避する機会を与えるので、これがAV企業が明らかにするものではないかと思います。

「生成/推定/評価/予測」は4つの異なる問題であり、すべてがGAで最適に実行されるわけではありません。アルゴリズムを選択する前に、問題を選択する必要があります。

于 2010-10-10T22:32:51.003 に答える