【发布时间】:2014-05-21 06:11:40
【问题描述】:
我有一个问题,我必须为 Stoned Virus 创建病毒签名(尽管这可能适用于任何病毒/文件)。
假设我有一个已编译和反编译程序的副本。然后我继续识别病毒中最重要的部分,这些部分将始终存在于代码中。据我了解,我现在必须在编译的病毒中找到相应的字节,以便为病毒的关键部分创建字节签名。
我如何继续从我在反编译版本中识别的代码中找到编译源中的相应字节?
补充:
- 代码在汇编中
- 不能只对整个文件使用哈希签名
- 目前我只有汇编代码,但我总是可以编译这个
- 我知道 Stoned 通常位于引导扇区而不是文件中。这只是一个学术练习,可能与任何病毒有关。
编辑:
这样做的目的是能够创建可用于扫描文件系统以查找受感染文件以及可能受感染文件和病毒代码变体的病毒签名。出于这个原因,我不能简单地使用整个文件的哈希值,我需要使用病毒的特定部分。我可以识别这些部分,但我不知道如何在机器代码中找到我识别的病毒部分的匹配字节。
【问题讨论】:
-
我认为这更适合Reverse Engineering 姐妹网站。
-
这是干什么用的?你试过什么?以目前的形式,这个问题将因为过于宽泛或不清楚而被关闭。这是一个耻辱,因为它很有趣
-
我已经更新了问题
-
如果是汇编,说明已经编译好了!
-
@KerrekSB 好的。所以命令例如。 MOV ax,bx, XOR ax,ax(例如)会包含在可执行病毒代码中吗?所以我可以只查找已识别命令的十六进制等效项?
标签: assembly signature decompiling antivirus virus