Der Quelltext wurde verändert.Zitat von Darkraiser
Außerdem glaubst du doch wohl nicht im Ernst, dass Antivirensoftwarefirmen wie Kaspersky und Co. eine Art Perl-Interpreter schreiben, nur um herauszufinden was ein Skript macht um es dann einordnen zu können.
Es wird mit bereits bekanntem Material verglichen bzw. nach verdächtigem Material gesucht.
Um aber solches verdächtiges Material zu identifizieren kann man nicht einfach sagen die Malware XYZ hat folgenden Code in sich:
mov eax, 1234
-> das haben viele, weniger haben jedoch:
mov eax, 1234
xor ebx, ebx
add ebx, 1
-> sagen wir also Signatur wird erkannt
mov eax, 1234
push eax
pop eax
xor ebx, ebx
add ebx, 1
-> unbekannt
Der Ablauf bleibt der gleiche; eax 1234 zuweisen, ebx auf 0 setzen und 1 zu ebx addieren (sprich ebx auf 1 setzen).
Das selbe hatten wir ja bei dem polymorphen Code, den du eher nicht als polymorph bezeichnet hast;
open(Virii,"<","$0");
@Virii = <Virii>;
-> das ist die Signatur
open(Virii,"<","$0");
#12
#173
@Virii = <Virii>;
#107
#3
-> nach 1x Ausführen; die Signatur kann nicht mehr erkannt werden, obwohl der Ablauf gleich geblieben ist
mfG. BlackBerry
Ergebnis 1 bis 10 von 26
Thema: Polymorphismus
Hybrid-Darstellung
-
23.02.2009, 22:23 #1Der mit Anatidaephobie
- Registriert seit
- 11.07.2008
- Beiträge
- 2.350
PDFTT cr3w a.E. — ReiDC0Re, lindor, Sera, berry
please do feed the trolls crew and elk
Ehrenwerte Mitglieder im Ruhestand: OpCodez, SFX.
"Was sich blackberry gerade denkt" — Vorsicht! Frei laufender Wahnsinn!
Zitat von fuckinghot19: "PS: Blackberry ist auf FH der Trollkönig ^^."
An dieser Stelle danke ich all meinen Fans und Hatern gleichermaßen ^.^
Zitieren
