¿Hay un virus que intentó frustrar las técnicas de descifrado genérico? ¿Cómo lo hizo?
Necesito saber el nombre del virus, porque intenté buscar y no puedo localizar ningún virus que haya hecho eso, y el mecanismo del virus tampoco está definido.
¿Hay un virus que intentó frustrar las técnicas de descifrado genérico? ¿Cómo lo hizo?
Necesito saber el nombre del virus, porque intenté buscar y no puedo localizar ningún virus que haya hecho eso, y el mecanismo del virus tampoco está definido.
Gracias por el enlace, es una pregunta interesante. No soy experto en virus, pero sé por lecturas anteriores. Sé que por el documento que menciona, tengo un problema con la frase "Dentro de esta computadora virtual, los archivos de programa se ejecutan como si se estuvieran ejecutando en una computadora real "lo que simplemente suena como simplificación de marketing para mi audiencia.
De hecho, el problema con este sistema es que si el antivirus tuviera que implementar una máquina virtual completa para ejecutar el virus en un entorno de caja de arena indetectable, realmente implementaría un entorno de computadora completo, entonces realmente requeriría muchos recursos. . Por lo tanto, el diseñador de antivirus debe encontrar un compromiso: qué llamada de sistema debe implementarse, cuál debe ser simplemente un código auxiliar, qué tipo de valores deben devolverse, etc.
A partir de eso, el diseñador de virus se basará en estas suposiciones para intentar detectar:
Y los próximos pasos lógicos son solo una carrera de armamentos. Los proveedores de antivirus intentan engañar o reconocer las rutinas de detección de sandbox, y los diseñadores de virus intentan encontrar diferentes formas alternativas de detectar el sandbox, y así sucesivamente ...
Editar : Curiosamente, el documento continúa y reconoce el problema de la velocidad que afecta al modelo ideal "como si se estuviera ejecutando en una computadora real" ( "el problema clave con el descifrado genérico es la velocidad ", página 8). Luego reemplaza este modelo ideal por uno heurístico, concluyendo con la "versión de marketing" de la carrera de armamentos que mencioné: "las heurísticas exigen una investigación y actualización continuas" .
Lea otras preguntas en las etiquetas virus decryption