Избежание обнаружения
Обфускация кода. Традиционные методы обнаружения, обычно используемые антивирусными программами, основаны на сканировании жесткого диска на наличие известных вредоносных программ. Антивирусное программное обеспечение обнаруживает известные вредоносные коды (сигнатуры) и помещает в карантин или удаляет подозрительные файлы. Чтобы скрыться от антивирусного сканирования и других средств обнаружения, авторы вредоносных программ используют различные методы, чтобы скрыть строки. Обфускация кода обычно используется авторами вредоносных программ для предотвращения извлечения сигнатур, полученных из двоичного кода вредоносных программ. Вот несколько примеров методов обфускации кода:
• Полиморфизм (он же Packing). Зашифровывая весь код, злоумышленники могут скрывать не только строки, но и двоичный код вредоносного ПО. После написания и компиляции вредоносного ПО злоумышленники иногда оборачивают свой двоичный код механизмом шифрования (процесс, называемый упаковкой). Шифрование рандомизирует все двоичные данные, предотвращая любые будущие попытки создать сигнатуру из двоичного кода вредоносного ПО. Каждый образец вредоносного программного обеспечения упакован с различным ключом шифрования, который также включен в образец. Метод дешифрования оборачивается вокруг зашифрованного кода и выполняется при загрузке процесса. Во время выполнения метод дешифрования использует ключ для дешифрования данных и загрузки вредоносного кода в память или на жесткий диск (этот процесс называется распаковкой). Когда процесс распаковки завершен, выполнение передается вредоносному ПО для выполнения его операций.
Просмотр скрытого контента доступен для зарегистрированных пользователей!
Просмотр скрытого контента доступен для зарегистрированных пользователей!
Последнее редактирование модератором:
