Szintje polimorfizmus - studopediya
Van egy részlege polimorf vírusok szinten bonyolultságától függően a kód, amely megtalálható a dekódolás ezek a vírusok. Egy ilyen divízió először javasolta Dr. Alan Solomon, egy idő után Wess-ling Bonchev bővítette.
1. szint: vírusok, amelyek egy sor fix kód decryptor a fertőzés során, és választani közülük. Ilyen vírusok polupolimorfikami és viseli a nevét oligomorfik (oligomorphic).
Példák: Cheeba, Szlovákia, bálna.
Effect 2. decryptor vírus tartalmaz egy vagy több állandó utasítást, az elsődleges rész változó.
3. szint tartalmaz egy decryptor kihasználatlan útmutató - típusú szemetet NOP, CLI, STI, stb ...
Szint 4. A dekódoló egymással felcserélhetően alkalmazzuk utasításokat, és megváltoztathatja a sorrendben a (keverés) utasításokat. dekódoló algoritmus nem változott.
Level 5. Az összes fenti módszerek, a dekódoló algoritmus változékony, akkor újra titkosítja a vírus kódját, és még a részleges titkosítása dekódolás.
6. szint Permutating-vírusok. Változás feltétele, hogy a fő vírus kódját - blokkokra osztjuk, amely, ha a fertőzött átrendeződik bármilyen sorrendben. A vírus azonban továbbra is működőképes. Ezek a vírusok nem titkosított.
A fenti felosztás nem mentes a hátrányai, mivel hajtjuk egyetlen kritérium - a képesség, hogy észleli a vírust a kódot dekódolás a szabványos elfogadás vírusos maszkok:
1. szint: A kimutatás a vírus elég, hogy több maszkokat.
2. szint észlelése maszk helyettesítő karakterekkel.
3. szint: Detection maszk eltávolítása után instruktsiy- „szemetet”.
4. szint: A maszk több lehetőség lehetséges kódot r. E. Válik algoritmikus.
5. szint lehetetlensége kimutatására egy maszk a vírus.
Hiánya egy ilyen szétválás demonstráljuk a vírus szintjét 3 polimorf, amely az úgynevezett - 3. szint. Ez a vírus, amely az egyik legkifinomultabb polimorf vírusok szerint a magasabb osztály esik a 3. szinten, állandó dekódoló algoritmus, amely előtt nagy számú komand- „szemetet”. Azonban a vírus generáló algoritmus a „szemetet” tökélyre: a dekódolás találkozhatunk szinte minden i8086 processzor utasításokat.
Ha teszünk egy osztály szintje közötti szempontjából anti-vírus az automatikus dekódolás vírus kódját (emulátor), a felosztás szintje függ a bonyolultsága a vetélkedés a vírus kódját. .. Talán a meghatározása egy vírus vagy más úton, például rasshifrova az elemi matematikai törvények, stb Ezért úgy vélem, több objektív osztály, amely magában foglalja a más paraméter mellett a vírus maszk kritérium:
1. A bonyolultság a polimorf kód (százalék az összes processzor utasítás, amely megjelenhet a kódot dekódolás rutin).
2. A antiemulyatornyh fogadások.
3. Sorozatos a dekódoló algoritmus.
4. perzisztenciahossz dekóder.
Nem szeretném bemutatni ezeket a pontokat részletesebben, hiszen arra ösztönözheti a vírusírók, hogy ezeket a szörnyeket.