1

我想知道如何实现以下签​​名。我在网上读到(至少在过去)研究人员会将“可疑”文件作为二进制代码,将其转换为汇编,检查它,挑选看起来不寻常的代码部分,并识别机器中的相应字节代码。

但是,下面的病毒字符串签名是如何实现的呢?

MIRC.Julie=6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50472e636f6d0a0d6e31333d207d0a0d6e31343d200a0d6e31353d206374637020313a70696e673a2f6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50

另外,(尽管这听起来可能完全疯狂)上面的字符串一定意味着什么,我只能猜测一系列动作,实际代码等。所以如果它曾经从程序集中以这种形式(病毒签名)“翻译”,是可以转换回来吗?

以防万一您可能想知道为什么要问我认为是一个奇怪的问题。这就是为什么...我正在准备我的 BSc 最后一年的计算机科学项目,此时我想知道是否有可能通过使用 GA(遗传算法)来生成/估计/评估/预测病毒签名。我希望这可能有助于让我的问题更容易理解。

谢谢!

4

2 回答 2

3

您无法将其还原,因为通常病毒签名已加密。获得它们的方法是从可执行文件中提取二进制恶意代码,然后将其转换为十六进制表示。希望有帮助

于 2010-11-03T00:22:13.983 回答
2

显示的病毒签名可能取决于生成它的扫描程序。我发现很容易相信所有病毒扫描程序都以不同的方式创建它们的签名。没有消息来源,就无法解释它是如何开发的,即使有消息来源,我也怀疑这不是 AV 公司会透露的,因为它让病毒开发人员有机会避免被发现。

“生成/估计/评估/预测”是四个不同的问题,并不是所有的问题都最好用 GA 完成。在选择算法之前,您需要选择您的问题。

于 2010-10-10T22:32:51.003 回答