Msg : Prev 3980 / 4681 Next
1999-08-21 10:39:42

To  : All

Subj:

В свете последних событий 3


Привет All! 


=== Cut === 
─ anti&virii (2:4631/17) ─────────────────────────────────────────── PVT.VIRII 
─ 
Msg : 219 of 1080 -216 +228 339 
From : Imagineer 2:4623/11.50 Пон 09 Июн 97 23:50 
To : Aleksandr Molchevsky Сpд 11 Июн 97 00:13 
Subj : Mutation Engines и тд 

─────────────────────────────────────────────────────────────────────────────── 
─ 
Hi over there, Aleksandr!!! 

AM> Мммдаа идея конечно классная, мне эдак года два назад тоже в 
AM> голову пpиходила. Hо ты пpедложи хотя-бы пpимеpный ваpиант как это 
AM> слепить, что бы pаботало. Хочешь давай посообpажаем может вместе и 
AM> вымудpим. 

Вот кусок того, что предназначалось для CHAOS A.D. #4.. 
кой-какие мои соображения.. 

=== Cut === 

■ Часть вторая: Решения и тд ■ 
_________________________________ 

!!! Однако забудем о создании полной интеллектуальности.. 

Лоху ясно, что вирю совчем не нужно обладать такой туевой хучей 
способностей. 

Hа основе всей прочитаной требухи, мне пришло в голову мысль, о том, 
что я назвал Adoptive Mutations, адаптивная мутация то есть. 
Это почти то, о чем было писано в статье Reminder'а "Интеллект и вирусы", 
только чуть пошире и поподробней. 

Мне представляеться два возможных варианта: 

Первый вариант: 
Вирус попав на машину, первое время собирает информацию о 
конфигурации: процессор, объем памяти и винта, операционка, 
используемые менеджеры памяти и тд. 
Второй этап - вирус обрабатывает информацию, и на основе ее 
меняет свое тело, дабы достичь максимальной эффективности, 
на этой машине (adoptive mutation) 
Третий этап - вирь иногда проверяет наличие изменений в 
конфигурации и автоматически меняет тело. 

Второй вариант: 
При попадении на машину вирь генерит несколько потомков, 
и заражает ими пару прог. Каждый потомок несет определенную функцию: 
в течении, скажем 4-5 запусков он проверяет ввериную ему фичу, 
будь-то наличие 95-тых виндов, адинфа и тд, а затем передает всю 
информацию матери-вирю и умирает. По получению данных от всех 
потомков, они обрабатываются и вирь настраеваеться на систему. 

Лично я придерживаюсь первого варианта. 

Вы спросите на хера это все надо, и нельзя ли обойтись простым вариантом 
а ля if-then, и не трахаться зря? Конечно, это проще. HО! 
Тривиальный if-then не дает такой гибкости адоптирования и настраемости. 
К тому же это лишние куски кода, да и вирь весь на виду. 
Адаптивная мутация должна быть одной частью с обыкновенным полиморфным 
энджином. Hадо двигаться не только в сторону полиморфиризации кода, но 
и полиморфности действий. 
Дальнейшее развитие этого бреда - предусмотреть возможность обмена кус- 
ками кода поздних версий энджина с более ранними. То есть при встрече, 
новая версия апгрейдит старой какие-либо фичи, что есть рулс. Значит должен 
быть какой-нибудь интерфейс обмена. Вот отсюда и вылазят всякого рода обло- 
мы: чем универсальней вирь - тем больше шансов его покилять, опираясь на 
ту же универсальность. И опять блин борьба с тупорылыми вирусоненавистниками, 
не дающими нормально существовать другим программам ;)) 

=== Cut === 
это так, к слову ;) 
а на счет полной полиморфности, допустим так: 
пишим полу-отладчик, полу-детектор комманд с анализатором кода на 
используемые команды, регистры.. 
проходимся разок по телу виря, создаем таблицу мутаций.. 
затем работает сам mutation engine, который, анализируя таблицу, 
изменяет код: 
разводит муть, взаимозаменяет регистры и команды, мусор, 
пустые процедуры и тд, вообщем все что делает обычный ME.. 
занимать этот мутатор ;) будет наверное не слабо, если конечно делать его 
на совесть ie что б был полный морфинг 
ну и конечно полиморфность действий (см. выше) 

да еще.. можно попробовать сделать мутацию тела скажем на уровне 
создания до хера процедур: береться кусок кода переносится куда-то 
делаеться, в ассемблерном виде, что-то вроде 
Some: 
... 
че перенесли 
... 
retn 
и так для всего/не всего тела.. 
а тело будет выглядить, скажем, так: 
куски кода 
call Some 
call Some2 
куски кода 
call Some3 
куски кода 
call Some10 
и тд 
то есть, без мутирования значущих команд, но все ж мутации на уровне самого 
тела.. если мелко посечь, будет довольно офигенно..естественно все по ран- 
домайзу.. дальше - лучше.. 
я вот щас это пишу с перерывами на сессию, которая никак не кончится.. ;) 
AM> Токо я уже пpидумал пpинцип антивиpя котоpый, по моему, будет это 
AM> ловить :) 
и как же? и зачем же? ;) 
Bye for now, Imagineer. 
[■//2W //SGWW //DVC //ДBM■] 
--- 
* Origin: Вот и я говорю - были бы крылья разбиться сумеем! (2:4623/11.50) 
=== Cut === 
С бестовыми регардами , Kostya Volkov aka Reminder 
--- 
* Origin: 2B OR (NOT 2B) = FF (2:4631/17) 
VX Heavens - коллекция вирусов,исходников и статей.
Длинный список? Alt + Home - в начало, Alt + End - в конец
Пользовательского поиска