私は、ウイルス対策やキーロガーなどのファイルを暗号化するために、ウイルス対策の検出をバイパスする目的でのみ使用されるクリプターについて話しています。それらはどのように機能しますか?
一部のサークルでは、「クリプター」と「パッカー」は同義語であり、自己チェックや自己変更を行うバイナリまたはプログラムを意味します。暗号は、より具体的には、暗号化やコードスクランブリングを含む自己変更を意味する場合があります(以下を参照)。
パッカーの概要と、コンポーネントとアーキテクチャの分解については、Chris Eagleの IDA Pro Book を読むことをお勧めします。
Daniel Reynaudのパッカーと自己修正コードに関する作業も非常に魅力的です。彼は 視覚化パッカーと自己修正プログラム に関するこのブログの投稿で、整合性チェック、ブラインドライト、コードスクランブル、およびPEファイルの暗号化を区別しています。ダイナミックバイナリインスツルメンテーションを使用してパッカーでこれらのさまざまな手法の実装をチェックする彼の大雑把なシステム(これを行うには最善の方法ではありませんが、他の方法と比較すると非常に高速です)は、 https:// code。 google.com/archive/p/tartetatintools/
Metasploitフレームワークの encoders の一部を見ることができます。特に Polymorphic XOR Additive Feedback Encoder(Shikata Ga Nai) はMetasploit Unleashedのドキュメントで説明されているため、一見の価値があります アンチウイルスをバイパスする 検出。
バイナリーから新しいバイナリーを作成し、逆アセンブラーでは理解できない異なる署名を持つパッカーと、元のコードに戻るためにメモリにアンパックするパッカーを区別できます。これをメタモルフィズムと呼びます。そして、バイナリから新しい署名で新しいバイナリを作成するパッカーがあり、ポリモーフィックである可能性がありますが、実行時に自分の署名を実行時に編集するため、メタポーフィズムと呼びます。
変成エンジンを確認したい場合は、私のコード(elfのみ)を確認してください。 AD_1DA
クールな論文はほとんどありません: https://vx-underground.org/papers.html (特に、感染カテゴリはすべて非常にクールです)