逆向病毒分析课程：从基础到多态病毒深入.pptx

2012-03-10麦洛克菲内核开发-逆向病毒分析课程

麦洛克菲

麦洛克菲提纲一病毒技术发展例程（普通-加密-多态-变形）实例分析—如何找到有效代码二复合性多态病毒sality分析实例分析—设计一个简易的多态生成器三漏洞的逆向分析实例分析—CVE2012-0158漏洞

一病毒技术发展例程（普通-加密-多态-变形）定义：每次感染时，放入宿主程序的代码互不相同，不断变化。同一种病毒的多个样本变种，病毒代码不同，几乎没有稳定代码。所有采用特征法的检测工具都不能识别它们。负面影响：与AVER的一场真正技术对抗。积极一面：促进AV技术的发展。

一病毒技术发展例程（普通-加密-多态-变形）发展：普通病毒?加密?多态?变形本质：病毒作者们对抗策略变化对抗点：1特征扫描（工具）2分析难度（分析员）

病毒变形的过程典型感染示例：正常文件感染后的文件PE头部代码及数据被修改PE头部代码及数据病毒数据

一病毒技术发展例程（普通-加密-多态-变形）演变过程PROGRAMCODEPROGRAMCODEVIRUSCODEPROGRAMCODEPROGRAMCODEVIRUSCODEPROGRAM

病毒变形的过程演变过程