我想知道如何实现以下签名。我在网上看到(至少在过去)研究人员会将“疑似”文件作为二进制代码,将其转换为汇编,检查它,选择看似异常的代码段,并识别机器中的相应字节代码。
但是,如何实现波纹管病毒字符串签名?
MIRC.Julie = 6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50472e636f6d0a0d6e31333d207d0a0d6e31343d200a0d6e31353d206374637020313a70696e673a2f6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50
另外,(虽然这可能听起来完全疯了)上面的字符串必须意味着什么,我只能猜测一系列动作,实际代码等等。所以,如果它曾经以这种形式“被翻译”(病毒签名)来自汇编,是否可以将其转换回来?
万一你可能想知道为什么我甚至会问一个奇怪的问题。这就是为什么...我正在准备我的BSc最后一年计算机科学项目,此时我想知道是否有可能通过使用GA(遗传算法)生成/估计/评估/预测病毒签名。我希望,这可能会让我的问题更容易理解。
谢谢!
答案 0 :(得分:3)
您无法将其还原,因为通常会加密病毒签名。它们的获取方式是从可执行文件中提取二进制恶意代码,然后将其转换为十六进制表示。 希望有所帮助
答案 1 :(得分:2)
显示的病毒签名可能取决于生成它的扫描程序。我发现很容易相信所有病毒扫描程序都以不同的方式创建签名。如果没有源代码,就无法解释它是如何开发的,即使有源代码,我也怀疑这是AV公司将要揭示的内容,因为它允许病毒开发人员避免检测。
“生成/估计/评估/预测”是四个不同的问题,并非所有这些问题都最好用GA完成。在选择算法之前,您需要选择问题。