¿El malware polimórfico / metamórfico está escrito en lenguajes de bajo o alto nivel?

3

Como parte de un curso, estudio el malware polimórfico / metamórfico. Cada artículo y artículo en el que me he topado menciona las técnicas utilizadas por un malware para lograr el polimorfismo / metamorfismo, pero no menciona el (los) idioma (s) en que se escribe la mayoría de los polimorfos / metamórficos o ejemplos de códigos De esa técnica particular.

Tengo entendido que el malware se puede escribir en casi cualquier lenguaje, desde Visual Basic, C y C ++ a Java y Python. Mi pregunta es: para lograr un comportamiento polimórfico / metamórfico, ¿necesita un nivel bajo o un lenguaje de alta palanca? ¿Sabemos qué idioma utilizan la mayoría de los malwares polimórficos / metamórficos?

    
pregunta Aventinus 06.12.2014 - 16:46
fuente

1 respuesta

1

Polimórfico / metamórfico generalmente se escribe al menos parcialmente en un lenguaje de bajo nivel.

El propósito del malware polimórfico es evadir los escáneres de virus. Lo hace haciendo difícil identificar una firma para el archivo. La versión más simple, por supuesto, es un cargador que descifra una sección de código cuando es el momento de ejecutar. Sin embargo, esto tiene una limitación: ¡el cargador ahora es una firma fácil de detectar!

La solución es escribir el cargador de manera polimórfica. Esta es una especie de pollo y el problema del huevo. Sin embargo, sabemos que la aplicación EVENTUALLY se compila en un código de máquina, por lo que los desarrolladores de código polimórfico escribirán un código de máquina que se puede mezclar y mutar y seguir funcionando.

Este trabajo de bajo nivel es muy difícil de realizar en cualquier idioma que se encuentre por encima del ensamblaje, porque cuanto más alto es el nivel, más firma dejará atrás (nunca se escribieron lenguajes de alto nivel para evitar dejar firmas).

Sin embargo, eso no significa que todo el malware tenga que ser de bajo nivel. Una vez que puede crear un malware poylmorphic que sabe cómo descifrar y cifrar el código, es posible escribir el resto del virus en un lenguaje de alto nivel, y simplemente adjuntarlo al cargador / cifrador / descifrador polimórfico de bajo nivel.

(Y, por supuesto, esta batalla continuará si el antivirus analiza la memoria después de descifrarla, pero creo que con solo manejar esto "escanear el archivo en busca de firmas" ¡el enfoque del Escáner de Virus debería ayudarlo!)

    
respondido por el Cort Ammon 06.12.2014 - 17:51
fuente

Lea otras preguntas en las etiquetas