¿Cómo puedo detectar un código autoejecutable sin cifrar en imágenes JPEG?

Este es el caso fácil para software antivirus .

Sin embargo, no suponga que un malware tenga que estar sin encriptar para ser ejecutable. El código Polimórfico lleva la autodecodificación a malwares, puede ser ayudado por Metamorphism para garantizar que incluso el comienzo de la rutina de descifrado, ya que debe haber un punto de inicio sin cifrar, no presente ningún patrón constante reconocible.

Está tratando de combatir este tipo de métodos que hacen que los programas antivirus sean programas complejos.

Dicho código necesariamente explotaría un desbordamiento de búfer u otro truco de salto de datos a código. Como tal, solo será efectivo contra un rango limitado de hardware. Por lo tanto, puede ejecutar un comprobador de pelusas JPEG escrito para, por ejemplo, ARM en un dispositivo virtualizado. El exploit no será efectivo contra la CPU emulada, que luego podrá informar sobre la estructura JPEG ... ya sea que contenga bloques de imágenes ilegales o, lo más probable, etiquetas de APP corruptas. Incluso si el código virtualizado es vulnerable, porque el exploit se dirige a una biblioteca que fue portada a la arquitectura emulada, por ejemplo, libexif, la carga útil del exploit estará en el lenguaje externo de la máquina de la CPU, y por lo tanto será inefectiva. En algunas máquinas virtuales, podrá comprobar qué direcciones contenían los datos dañados.