我有一个问题,我必须为Stoned病毒创建病毒签名(虽然这可能适用于任何病毒/文件)。
我们假设我有一份编译和反编译程序的副本。然后,我继续在代码中识别病毒的最重要部分,这些部分将始终存在。据我了解,我现在必须在编译的病毒中找到相应的字节,以便为病毒的关键部分创建一个字节签名。
如何从我在反编译版本中识别的代码中查找已编译源中的相应字节?
额外:
编辑:
这样做的目的是能够创建病毒签名,可用于扫描文件系统以查找受感染的文件以及可能受感染的文件和病毒代码的变体。出于这个原因,我不能简单地使用整个文件的哈希,我需要使用病毒的特定部分。我可以识别这些部分,但我不知道如何在我确定的病毒部分的机器代码中找到匹配的字节。
答案 0 :(得分:0)
我喜欢这个问题的发布当天,南非的某所大学发布了assignment一个关于为Stoned病毒创建合适签名的毕业后安全课程This article,这将导致正确的结果尽可能少的误报;)
无论如何,由于提交截止日期已经结束,我可以发布帮助我的内容。
{{3}}帮助我很好地理解了Stoned中的代码究竟在做什么。最终我使用的签名是接管系统中13h中断的代码。
我选择此签名是因为
周一的考试祝你好运!