Поліморфний код
Поліморфний код — це програмний код, котрий може себе змінювати, без зміни свого алгоритму. Для мутації коду може бути використаний поліморфний генератор. Код може змінюватися кожного разу під час виконання, але результат роботи ніколи не змінюється. Для прикладу є функція котра має повертати число 4, даний результат можуть повертати багато виразів: -1 + 5, 1 * 4, 7 - 3
. Ця техніка інколи використовується у комп'ютерних вірусах, у цьому випадку вони називаються поліморфні віруси. У вірусах ця технологія використовується для того щоб ускладнити знаходження вірусів антивірусними програмами.[1]
Поліморфний комп'ютерний вірус
Це комп'ютерний вірус котрий використовує поліморфний код для ускладнення свого детектування.
Історія
Перший відомий поліморфний вірус був написаний Марком Вашберном (Mark Washburn). Вірус, котрий мав назву 1260[2], був створений у 1990 році. Більш відомий поліморфний вірус був створений болгарським програмістом Dark Avenger (нік) у 1992 році, він також створив MtE (Mutation Engine).
Поліморфізм у комп'ютерних вірусах
Поліморфізм у вірусах в основному представлений наступними категоріями:
- шифрування функцій вірусу за допомогою побайтної операції XOR.
- будь-яка інструкція замінюється на іншу котра робить те саме.
Наприклад,
add ebx, 7
може бути замінена на
sub ebx, −7
або на пару команд
add ebx, 9 sub ebx, 2
код для перенесення даних з одного регістру до іншого
mov ax, bx
може бути замінений на
push bx pop ax
- перестанова місцями інструкцій у випадку коли їх порядок ролі не має.
- додавати сміттєві команди, такі команди котрі вірусом не використовуються, а лише є для ускладнення аналізу.
Шифрування це найбільш використовуваний метод у поліморфних вірусах. Шифрування саме по собі не є поліморфізмом. Для досягання поліморфізму, програмний код мутує за допомогою шифрування та дешифрування. Ця техніка дозволяє щоб один і той самий код виглядав по різному.[3]
Посилання
- Raghunathan, Srinivasan (2007). Protecting anti-virus software under viral attacks. M.Sc. Thesis, Arizona State University. Архівовано 17 квітня 2012 у Wayback Machine.
- 1260 (computer virus)
- Wong, Wing; Stamp, M. (2006). Hunting for Metamorphic Engines. Journal in Computer Virology. Department of Computer Science, San Jose State University.