Msg : Prev 3983 / 4681 Next
1999-08-21 10:50:32

To  : All

Subj:

В свете последних событий 6


Привет All! 

=== Cut === 
─ anti&virii (2:4631/17) ─────────────────────────────────────────── PVT.VIRII 
─ 
Msg : 763 of 1080 -740 +777 *798 Rcv 
From : Sanya Tankeev 2:465/112 Втp 19 Авг 97 01:59 
To : Reminder Суб 23 Авг 97 03:30 
Subj : о фуллморфности 

─────────────────────────────────────────────────────────────────────────────── 
─ 
Glad to see you, man ! 

Сбт, 16 Авг, 1997 05:46, Reminder написал Imagineer следующее: 

R> я еще раз поторяю, что "замена команды на группу аналогичных по 
R> результату" это что-то из области искусственного интелекта. 
Hет, почему же ? Добавляем в вирус таблицы комманд следующим образом: 

однобайтовые комманды: 
db A1,A2,A3,A4,... 
db B1,B2,B3,B4,... 
... 
Где A1,A2,... - равносильные между собой коммады (в данном случае 4 
взаимозаменяемые комманды). Мутатор находит нужный код в таблице и 
заменяет текущую однобайтовую команду на любую из соответствующей 
ей группы. Только не надо мне говорить, что эту таблицу можно использовать 
в качестве маски, т.к. порядок команд в группе можно менять, как вопчем 
и порядок групп. Важно только, чтобы к-тво элементов в группе было неизменно. 
Для двух(и более)байтовых команд все аналогично. 
R> это не может быть универсальным, потому я от этого отказался. 
Это точно... Hо кто говорит об универсальности ? Ты берешь готовый вирь и 
сам практически делаешь то же, что и Лозинский - ищешь характерные маски 
и ломаешь их. Ломаешь ты их следующим образом: 
1) Заменяешь команды виря, равносильными из таблицы если таковые имеются. 
2) Если таковых нет, то добавляешь мусорные команды в вирь и в таблицах 
записываешь их аналоги. 
Конечно, мутатор будет сложноват, но ИМХО, проще, чем в предложенном тобою 
варианте... А результат тот же. 
R> Поэтому, как я уже и говорил - есть единственный вариант - разбавлять 
R> команды мусором. Как разбавлять - я уже говорил. 
Hу, положим, не единственный... Hо мусор все равно нужен. 
R> любое зашифрованное можно расшифровать. 
Эт верно. Изменения должны быть необратимыми (строго говоря обратимыми, но 
не однозначно). 
С уважением, 
Sanya. ....arghhh.... 
--- 
* Origin: Solaris board 2:465/112, 00:00-06:00 (2:465/112) 
=== Cut === 
С бестовыми регардами , Kostya Volkov aka Reminder 
--- 
* Origin: 2B OR (NOT 2B) = FF (2:4631/17) 
VX Heavens - коллекция вирусов,исходников и статей.
Нажми K для просмотра служебной информации
Пользовательского поиска