Метаморфический код - Metamorphic code

Метаморфический код это код, который при запуске выводит логически эквивалентный версия собственного кода под некоторыми интерпретация. Это похоже на лоза, за исключением того, что куин исходный код в точности эквивалентен собственному выводу. Метаморфический код также обычно выводит Машинный код а не его собственный исходный код.

Обзор

Метаморфический код используется компьютерные вирусы чтобы избежать распознавание образов из антивирусное программное обеспечение. Метаморфические вирусы часто переводят свой двоичный код во временное представление, редактируя временное представление самих себя, а затем снова переводят отредактированную форму обратно в машинный код.^[1] Эта процедура выполняется с самим вирусом, и, таким образом, сам метаморфический движок претерпевает изменения, что означает, что никакая часть вируса не остается прежней. Это отличается от полиморфный код, где полиморфный движок не может переписать собственный код.

Метаморфический код используется некоторыми вирусами, когда они собираются заразить новые файлы, и в результате следующее поколение никогда не будет выглядеть как текущее. Мутированный код будет делать то же самое (под интерпретация used), но двоичное представление дочернего элемента обычно полностью отличается от родительского. Мутации можно добиться с помощью таких приемов, как вставка NOP инструкции (грубая сила ), меняя то, что регистры использовать, изменяя управление потоком с помощью скачков, заменяя машинные инструкции на эквивалентные или переупорядочивая независимые инструкции.

Метаморфизм не защищает вирус от эвристический анализ.^{[нужна цитата ]}

Метаморфический код также может означать, что вирус способен заражать исполняемые файлы из двух или более разных операционные системы (Такие как Windows и GNU / Linux ) или даже разные компьютерные архитектуры. Часто вирус делает это, неся в себе несколько вирусов. Затем начало вируса кодируется таким образом, чтобы он транслировался в правильный машинный код для всех платформ, на которых он должен выполняться.^[2] Это используется в основном в код удаленного внедрения эксплойта где целевая платформа неизвестна.

Метаморфические вирусы

• Сравнение
• ZMist
• Лакримы^[3]

Смотрите также

• Самомодифицирующийся код
• Странная петля
• Полиморфный код
• Хронология известных компьютерных вирусов и червей

Рекомендации

внешняя ссылка

• Охота за метаморфизмом