Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Я тоже когда-то пытался реализовать эту идею 04.02.03 18:22 Число просмотров: 1783
Автор: dl <Dmitry Leonov>
|
> ЗЫ: А с полиморфизмом АВ-ы так и не справились по > человечески имхо. Полиморфизмы тоже бывают разные. И чаще > всего в расшифровщике меняются от популяции к популяции > только некоторые константы - с этим на раз справляются > плавающие сигнатуры, но вот например, описанный выше > алгоритм я с трудом представляю как обнаружить как в > вирусе, так и в антивирусе (разве что в песочнице, но флаг > в руки сканеру, если он будет пытаться сэмулировать поток > исполнения команд так на 50000 для каждого исполняемого > файла в системе, кроме того после этого он начнет > материться даже на анекдоты про вовочку). > Если кто еще не знает, сейчас полно вирусов, которые не > только пытаются прятаться, но и тем или иным образом > вывести из строя антивирус, так что ему тоже приходится > защищаться всеми доступными способами. > А изменчивость как фактор выживания как для вирусов, так и > для честных прог - это действительно очень неплохой фактор.
Под тем, что антивирусы справляются, я имею в виду, что страшной эпидемии полиморфов, которой стращал Касперский (как раз перед тем как переключиться на сетевую безопасность :), вроде не наблюдается. То, что предлагается в статье, конечно, сильно проще, и на самом деле не такая уж проблема все это обойти. Но идея любопытная, и не исключено, что в эту сторону будут думать дальше.
|
|
|