MysteryMan
2014-05-21 11:21:27 UTC
Stoned Virusのウイルス署名を作成する必要があるという問題があります(これはどのウイルス/ファイルにも当てはまります)。
コンパイルおよび逆コンパイルされたプログラムのコピーがあると仮定しましょう。 。次に、コード内で常に存在するウイルスの最も重要な部分を特定します。私が理解しているように、ウイルスの重要な部分のバイト署名を作成するには、コンパイルされたウイルスで対応するバイトを見つける必要があります。
コンパイルされたウイルスで対応するバイトを見つけるにはどうすればよいですか。逆コンパイルされたバージョンで識別したコードからのソース?
追加:
- コードはアセンブリ内にあります
- 単にハッシュ署名を使用しますファイル全体はオプションではありません
- 現在、アセンブリコードしかありませんが、いつでもコンパイルできます
- Stonedは通常、ブートセクターにあり、ではないことを認識しています。ファイル。これは学術的な演習にすぎず、あらゆるウイルスに関連します。
編集:
これの目的は、使用できるウイルス署名を作成できるようにすることです。ファイルシステムをスキャンして、感染したファイルだけでなく、感染した可能性のあるファイルやウイルスコードのバリエーションを見つけます。このため、ファイル全体のハッシュを単純に使用することはできず、ウイルスの特定の部分を使用する必要があります。これらのパーツは識別できますが、識別したウイルスパーツのマシンコードで一致するバイトを見つける方法がわかりません。
どの逆アセンブラを使用していますか?逆アセンブルと一緒に元のオペコードを出力するオプションがないものは1つも見たことがありません。
@VitalyOsipov少なくとも[NDISASM](http://www.nasm.us/doc/nasmdoca.html)は、逆アセンブリとともに、各命令の元のバイナリコード(オペコードを含む)を出力します。