¿Hay un virus que intentó frustrar las técnicas de descifrado genérico, y cómo lo hizo?

1

¿Hay un virus que intentó frustrar las técnicas de descifrado genérico? ¿Cómo lo hizo?
Necesito saber el nombre del virus, porque intenté buscar y no puedo localizar ningún virus que haya hecho eso, y el mecanismo del virus tampoco está definido.

    
pregunta jagpreet singh 25.04.2015 - 09:48
fuente

1 respuesta

1

Gracias por el enlace, es una pregunta interesante. No soy experto en virus, pero sé por lecturas anteriores. Sé que por el documento que menciona, tengo un problema con la frase "Dentro de esta computadora virtual, los archivos de programa se ejecutan como si se estuvieran ejecutando en una computadora real "lo que simplemente suena como simplificación de marketing para mi audiencia.

De hecho, el problema con este sistema es que si el antivirus tuviera que implementar una máquina virtual completa para ejecutar el virus en un entorno de caja de arena indetectable, realmente implementaría un entorno de computadora completo, entonces realmente requeriría muchos recursos. . Por lo tanto, el diseñador de antivirus debe encontrar un compromiso: qué llamada de sistema debe implementarse, cuál debe ser simplemente un código auxiliar, qué tipo de valores deben devolverse, etc.

A partir de eso, el diseñador de virus se basará en estas suposiciones para intentar detectar:

  • Cuando el código del virus se ejecuta desde el entorno de seguridad del antivirus (ejemplo trivial: llame varias veces a la función del sistema y compare los resultados que deberían ser diferentes en un sistema real, y son siempre los mismos debido al antivirus » trozo de sandbox), en este caso no activará el algoritmo de descifrado y permanecerá indetectable,
  • Cuando el código del virus se ejecuta en el sistema real, en este caso el virus activará su carga.

Y los próximos pasos lógicos son solo una carrera de armamentos. Los proveedores de antivirus intentan engañar o reconocer las rutinas de detección de sandbox, y los diseñadores de virus intentan encontrar diferentes formas alternativas de detectar el sandbox, y así sucesivamente ...

Editar : Curiosamente, el documento continúa y reconoce el problema de la velocidad que afecta al modelo ideal "como si se estuviera ejecutando en una computadora real" ( "el problema clave con el descifrado genérico es la velocidad ", página 8). Luego reemplaza este modelo ideal por uno heurístico, concluyendo con la "versión de marketing" de la carrera de armamentos que mencioné: "las heurísticas exigen una investigación y actualización continuas" .

    
respondido por el WhiteWinterWolf 25.04.2015 - 11:10
fuente

Lea otras preguntas en las etiquetas