分析Bagle病毒
文档编号: S02-F020
原作者: KONSTANTIN ROZINOV
译者: Arhat.ptg@gmail.com
审校: null
发布时间: 2006-10-24
原文:http://home.arcor.de/idapalace/papers/bagle_analysis_v.1.0.pdf
关键词:Bagle 蠕虫 病毒 IDA 逆向工程 汇编
1
导言
今天,对大部分反病毒(AV)扫描器来说,它们主要是通过在被扫描的文件内寻找简单的病毒特征 来检测病毒。病毒特征的主要来源是:由分析人员将病毒反汇编成汇编代码,进行分析,然后从中选一些看来是独一无二的代码段。这些独一无二的段的二进制位就是病毒的特征。然而,这个方法对多态变形病毒一点用也不起,因为多态变形病毒每次运行时都会改变它们的代码(也就是病毒的特征)。作为响应,反病毒厂商采用启发式的方法,用译码引擎(能运行二进制的译码器/加载器代码,并打入未加密的二进制内部)确定它是否是病毒。然而,实际的情况是大部分病毒只是一些简单的类型 ??并没有加密或变形,其中的大部分变体是后来才出现的。
这个项目将试着回答下面三个问题:
1. 怎样对病毒进行逆向分析?
2. 能通过逆向分析病毒,找到一个检测,预防,并从病毒和它将来的变体中恢复的好方法吗?
3. 可以使RCE更有效率吗?
在这篇文章里,我们选择研究的病毒是Bagle(也被称作Beagle)。这么做的理由在4.1 。。。
- 标 题:分析Bagle病毒
- 作 者:arhat
- 时 间:2006-10-24 09:28:21
- 链 接:http://bbs.pediy.com/showthread.php?t=33736