分析Bagle病毒

文档编号:  S02-F020
原作者:  KONSTANTIN ROZINOV
译者:  Arhat.ptg@gmail.com
审校:  null
发布时间:  2006-10-24
原文:http://home.arcor.de/idapalace/papers/bagle_analysis_v.1.0.pdf
关键词:Bagle 蠕虫 病毒 IDA 逆向工程 汇编


1
导言
今天,对大部分反病毒(AV)扫描器来说,它们主要是通过在被扫描的文件内寻找简单的病毒特征 来检测病毒。病毒特征的主要来源是:由分析人员将病毒反汇编成汇编代码,进行分析,然后从中选一些看来是独一无二的代码段。这些独一无二的段的二进制位就是病毒的特征。然而,这个方法对多态变形病毒一点用也不起,因为多态变形病毒每次运行时都会改变它们的代码(也就是病毒的特征)。作为响应,反病毒厂商采用启发式的方法,用译码引擎(能运行二进制的译码器/加载器代码,并打入未加密的二进制内部)确定它是否是病毒。然而,实际的情况是大部分病毒只是一些简单的类型 ??并没有加密或变形,其中的大部分变体是后来才出现的。
这个项目将试着回答下面三个问题:
1.  怎样对病毒进行逆向分析?
2.  能通过逆向分析病毒,找到一个检测,预防,并从病毒和它将来的变体中恢复的好方法吗?
3.  可以使RCE更有效率吗?
在这篇文章里,我们选择研究的病毒是Bagle(也被称作Beagle)。这么做的理由在4.1 。。。

上传的附件 分析bagle病毒.rar