【问题标题】:How to create a virus signature from decompiled source如何从反编译源创建病毒签名
【发布时间】:2014-05-21 06:11:40
【问题描述】:

我有一个问题,我必须为 Stoned Virus 创建病毒签名(尽管这可能适用于任何病毒/文件)。

假设我有一个已编译和反编译程序的副本。然后我继续识别病毒中最重要的部分,这些部分将始终存在于代码中。据我了解,我现在必须在编译的病毒中找到相应的字节,以便为病毒的关键部分创建字节签名。

我如何继续从我在反编译版本中识别的代码中找到编译源中的相应字节?

补充:

  • 代码在汇编中
  • 不能只对整个文件使用哈希签名
  • 目前我只有汇编代码,但我总是可以编译这个
  • 我知道 Stoned 通常位于引导扇区而不是文件中。这只是一个学术练习,可能与任何病毒有关。

编辑:

这样做的目的是能够创建可用于扫描文件系统以查找受感染文件以及可能受感染文件和病毒代码变体的病毒签名。出于这个原因,我不能简单地使用整个文件的哈希值,我需要使用病毒的特定部分。我可以识别这些部分,但我不知道如何在机器代码中找到我识别的病毒部分的匹配字节。

【问题讨论】:

  • 我认为这更适合Reverse Engineering 姐妹网站。
  • 这是干什么用的?你试过什么?以目前的形式,这个问题将因为过于宽泛或不清楚而被关闭。这是一个耻辱,因为它很有趣
  • 我已经更新了问题
  • 如果是汇编,说明已经编译好了!
  • @KerrekSB 好的。所以命令例如。 MOV ax,bx, XOR ax,ax(例如)会包含在可执行病毒代码中吗?所以我可以只查找已识别命令的十六进制等效项?

标签: assembly signature decompiling antivirus virus


【解决方案1】:

我喜欢这个问题是如何在同一天发布的尽可能积极;)

无论如何,既然提交截止日期已经过去,我可以发布对我有帮助的东西。

This article 帮助我准确理解 Stoned 中的代码在做什么。最终我使用的签名是接管系统中 13h 中断的代码。

我选择这个签名是因为

  • 破解此代码会破坏病毒
  • 常规软件不应该接管系统中断,因此它是 Stoned 独有的并且非常流行。

祝周一考试顺利!

【讨论】:

  • 分配的目的是创建一个签名。然而,问题与签名或扔石头无关,而是与如何测试签名有关。在其他新闻中......我同意,这将是病毒的一个很好的签名。
猜你喜欢
  • 1970-01-01
  • 2012-04-27
  • 1970-01-01
  • 1970-01-01
  • 2023-02-10
  • 2010-11-26
  • 1970-01-01
  • 2010-10-13
  • 1970-01-01
相关资源
最近更新 更多