Diệt Virus Siêu Đa Hình

Virus hết sức đa hình là các loại virus tự động biến thay đổi mã mỗi khi lây nhiễm, bởi vì vậy, những công nuốm diệt virus dựa vào mẫu có sẵn sẽ khá khó phát hiện ra chúng. Để tiến hành điều này, virus vô cùng đa hình được trang bị một vài cách thức biến hóa siêu trong khi đổi tên thanh ghi, hoạn mã, mở rộng mã, rút gọn mã cùng chèn các đoạn mã rác vào… nhằm mục tiêu đánh lừa và né tránh sự phân tích.

Bạn đang xem: Diệt virus siêu đa hình

Đặc điểm của virus vô cùng đa hình

Virus cực kỳ đa hình không có bộ giải mã và cũng không tiến hành “bung” gói giống như virus đa hình, tuy nhiên, chúng có thể tạo một cầm cố hệ virus bắt đầu với các điểm sáng khác biệt. Bọn chúng không thực hiện phần tài liệu riêng (dùng cho các chuỗi bất biến) nhưng sử dụng một trong những phần Single- code chứa toàn cục mã và dữ liệu trong quy trình nhân bản. Rất có thể thấy rằng, không có dữ liệu cố định nào sống thọ giữa những thế hệ của virus vô cùng đa hình lúc nhân bản.Để kiêng sự vạc hiện, virus hết sức đa hình được trang bị đầy đủ kỹ thuật khác nhau để “tiến hóa” mã của chúng thành cầm cố hệ vi khuẩn mới có mã khác trọn vẹn nhưng tính năng thì vẫn không nắm đổi.

Các kỹ thuật chế tạo ra virus rất đa hình

Một số chuyên môn cơ bạn dạng được áp dụng để tạo ra virus khôn xiết đa hình được biểu hiện sau đây:Kỹ thuật chèn mã rác: Là kỹ thuật đối kháng giản, sử dụng nhiều virus đa hình và khôn xiết đa hình nhằm tiến hóa mã. Ý tưởng của nghệ thuật này là chèn thêm các mã bắt đầu vào, khiến cho đoạn mã khác đi so với ban đầu để quan trọng tìm ra được các đoạn mã hexa khả dụng. Những mã vẫn chèn vào được gọi là mã rác, vày chúng không làm ảnh hưởng đến tác dụng của toàn bộ đoạn mã.Hoán thay đổi thanh ghi sử dụng: phương thức này bao gồm trong virut Win95/Regswap, được tạo vì chưng Vecna vào thời điểm năm 1998. Các thế hệ khác nhau của vi khuẩn sẽ sử dụng cùng mã nhưng những thanh lưu lại khác nhau.Kỹ thuật hoán vị: virus Win32/Ghost cùng Win95/Zperm diễn đạt một nấc độ new của virus cực kỳ đa hình. Tuy nhiên mã của virus không cụ đổi, cơ mà sự “đa hình” được thực hiện bằng cách chia mã thành những frame, định vị các frame một cách bỗng dưng và triển khai kết nối bọn chúng bằng các lệnh rẽ nhánh để bảo trì dòng tiến trình.Virus Win32/Ghost có khả năng biến đổi thứ tự của các chương trình nhỏ từ nỗ lực hệ này sang nuốm hệ khác. Nếu số chương trình con là n thì số lượng các phát triển thành thể virus rất có thể tạo ra đã là n!. Win32/Ghost bao gồm 10 chương trình con vì vậy nó rất có thể tạo ra 3.628.800 vươn lên là thể không giống nhau.Chèn vào những lệnh nhảy: Win95/Zperm la loại virus sử dụng kỹ thuật này. Virus triển khai chèn với bỏ những lệnh Jump nghỉ ngơi trong mã và mỗi một lệnh Jump đang trỏ mang lại một lệnh mới của Virus. Virut Zperm không tạo nên một đoạn mã cố định và thắt chặt ở bất cứ đâu, thậm chí là cả sinh sống trong bộ nhớ, vì thế việc áp dụng kỹ thuật tìm kiếm kiếm chuỗi nhằm phát hiện các loại virus này là gần như không thể thực hiện được.

*
*
*

Sử dụng những bộ trả lập: trả lập đoạn mã thực thi quan trọng lập một vật dụng ảo để mô phỏng hệ thống quản lý bộ nhớ và CPU, chạy những mã độc hại bên trong máy ảo đó. Mã ô nhiễm và độc hại không thể thoát ra khỏi máy ảo. Các chương trình quét diệt virus hoàn toàn có thể chạy đoạn mã trong một cỗ giả lập, sau đó kiểm tra định kỳ để tìm cùng phát hiện những lệnh đặc trưng của virus. Một trong những kỹ thuật giả lập như sau:Sử dụng cỗ giả lập dựa vào kỹ thuật heuristics: phát hiện dựa trên kỹ thuật heuristics không sở hữu và nhận diện virut một biện pháp rõ rệt nhưng đã cho thấy được các đặc trưng và phát hiện các lớp của virus laptop một giải pháp tổng quát. Hình thức heuristics hoàn toàn có thể dò tìm lốt vết những lệnh ngắt và thực thi ở tại mức sâu hơn trải qua việc áp dụng một sản phẩm công nghệ ảo mô rộp hệ điều hành.Các hệ thống như vậy thậm chí hoàn toàn có thể tái lập các virus trong hệ thống file ảo của máy ảo. Một số trong những sản phẩm antivirus thực thi các khối hệ thống như vậy rất hiệu quả và cho ít cảnh báo sai. Chuyên môn này yêu cầu vấn đề mô phỏng khối hệ thống file. Ví dụ, bất kỳ khi nào một file new được mở bởi những virus đưa lập, một tệp tin ảo được chỉ cho tới nó. Sau đó, virus đưa lập hoàn toàn có thể làm lây nhiễm file ảo trong khối hệ thống ảo mà hiện tại nó đã lưu trú. Nhị vấn đề lớn số 1 ở đây là rất nặng nề để đưa lập hệ thống đa luồng với hiệu suất hệ thống giả lập thấp.

Xem thêm: Thời Niên Thiếu Của Anh Và Em

Phát hiện những vòng lặp giả: việc chống lại chuyên môn tạo bộ giả lập mở ra trong một phiên phiên bản cải tiến của virut Bistro (được thành lập sau vài phiên bản so với phiên bản gốc). Chuyên môn này được hotline là chèn mã ngẫu nhiên, chèn thêm những dòng lệnh rác và những vòng lặp mang một giải pháp ngẫu nhiên trước lúc giải mã. Điều này làm cho cho một trong những bộ đưa lập mô rộp hàng triệu các dòng lệnh rác rến và cấp thiết dựng lại một vi khuẩn thực sự cho nên việc phát hiện virus là không thể tiến hành được.Phát hiện tại việc giải thuật ngăn xếp: những biến thể khác nhau của vi khuẩn Zmorph chuyển vào file bị nhiễm 1 phần mã nhiều hình, kế tiếp chúng giải thuật virus theo từng lệnh với tái lập lại nó bằng phương pháp đẩy hiệu quả vào bộ lưu trữ ngăn xếp.Nếu bộ giả lập không có chức năng phát hiện giải mã ngăn xếp thì các virus như vậy sẽ bị vứt sót. Bộ lưu trữ bị những virus này truy hỏi nhập hoàn toàn có thể bị kiểm soát, giám sát bởi một bộ giả lập với khi lệnh tinh chỉnh và điều khiển được truyền tới bộ lưu trữ ngăn xếp, quy mô này sẽ thấy nó với kết xuất toàn bộ đoạn mã vi khuẩn được giải mã để dìm dạng. Giảm bớt của nghệ thuật này là nó có ảnh hưởng tác động đáng nói đến hiệu suất của sản phẩm quét.Phát hiện sự đổi khác mã: Sự đổi khác mã được dùng để biến hóa các dòng lệnh hoạn sang dạng đối chọi giản, khi mà lại sự phối kết hợp các cái lệnh được biến đổi thành dạng tương đương nhưng đơn giản và dễ dàng hơn. Sau khoản thời gian chuyển đổi, mã thịnh hành được biểu thị bởi những virus rất có thể được nhấn dạng. Virus nhiều hình thứ nhất sử dụng nghệ thuật này là Win32/Simile.Kỹ thuật này bao gồm việc biến hóa mã virus về dạng nguyên thủy tương đồng với nắm hệ đầu tiên. Tuy nhiên, để sở hữu thể bảo vệ việc vạc hiện hoàn toàn mà không ảnh hưởng đến vận tốc quét, môđun đổi khác mã đề nghị được tối ưu hóa và linh hoạt. địa chỉ của virus có thể được thay đổi tới địa điểm mẫu quét được lưu giữ trữ, điều này sẽ làm cho giảm tác động ảnh hưởng lên hiệu suất của sản phẩm quét.Phát hiện tại hoán vị công tác con: được áp dụng để vạc hiện những virus có thực hiện hoán vị mã của bọn chúng thành dạng mới. Như mô tả ở trên, việc biến hình đã có được nhờ việc chia nhỏ tuổi mã thành các frames và sau đó đặt vị trí những frames này một cách hốt nhiên và link chúng bởi các lệnh nhánh để gia hạn luồng tiến trình.Virus Zperm thực hiện công ráng hoán vị thực (Real Permutation Engine – RPME) tinh vi để biến đổi mã của nó. Để phát hiện virus này, sản phẩm quét phải triển khai giả lập từng phần để sản xuất lại mã virus từ dạng nguyên gốc trước lúc hoán vị. Giả lập từng phần tức là mô phỏng các lệnh nhánh như cách nhảy. Quyết định khi nào dừng giải mã là vụ việc của nghệ thuật này. Cũng tương tự vậy, việc bảo đảm an toàn rằng mã virus đã được phát hiện rất đầy đủ cũng là một vấn đề khôn xiết khó. Cạnh bên việc tái tạo ra lại mã virus, nghệ thuật này cũng có công dụng cho bài toán xóa các lệnh rác.

Kết luận

Virus rất đa hình thực hiện nhiều kỹ thuật phức tạp như chèn mã rác, sửa chữa thay thế lệnh, hoạn mã và tích phù hợp mã. Bài toán phát hiện nay virus vô cùng đa hình luôn luôn là vấn đề khó và để phân phát hiện bọn chúng một phương pháp toàn diện, các chu trình phạt hiện đề xuất được viết sao cho có thể tạo ra chỉ dẫn quan trọng về tập hợp nhóm virus từ cách thức thực tế của việc xâm nhiễm. Có rất nhiều kỹ thuật phát hiện tại virus khôn xiết đa hình đã được sử dụng như phát hiện tại hình học, phân tung mã, phát hiện tại hoán vị chương trình con… mặc dù nhiên chưa xuất hiện kỹ thuật như thế nào phát hiện tại một giải pháp toàn diện. Vày vậy, việc tìm các phương thức mới nhằm phát hiện nay Virus cực kỳ đa hình là vấn đề rất cần phải quan vai trung phong nghiên cứu.

ThS.Vũ Đình Thu – Ban Cơ Yếu thiết yếu Phủ

Leave a Reply

Your email address will not be published. Required fields are marked *