2015-05-18
288
Простейшим примером частично полиморфного расшифровщика является следующий набор команд, в результате применения которого ни один байт кода самого вируса и его расшифровщика не является постоянным при заражении различных файлов:
MOV гед_1, count;гед_1, гед_2, гед_3 выбираются из
MOV гед_2, key; AX,BX,CX,DX,SI,DI,ВР
MOV гед_3, _offset;count, key, _offset также могут меняться
„LOOP:
ххх byte ptr [гед_3], гед_2;хог, add или sub
DEC гед_1
Jxx „loop;ja или jnc
;дальше следуют зашифрованные код и данные вируса
Более сложные полиморфик-вирусы используют значительно более сложные алгоритмы для генерации кода своих расшифровщиков: приведенные выше инструкции (или их эквиваленты) переставляются местами от заражения к заражению, разбавляются ничего не меняющими командами типа NOP, STI, CLI, STC, CLC, DEC неиспользуемый регистр, XCHG неиспользуемые регистры и т. д.
Полноценные же полиморфик-вирусы используют очень сложные алгоритмы, в результате работы которых в расшифровщике вируса могут встретиться операции SUB, ADD, XOR, ROR, ROL и другие в произвольном количестве и порядке. Загрузка и изменение ключей и других параметров шифровки производится также произвольным набором операций, в котором могут встретиться практически все инструкции процессора Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG.JNZ, PUSH, POP...) со всеми возможными режимами адресации. Появляются также полиморфик-вирусы, расшифровщик которых использует инструкции вплоть до Intel386, а летом 1997 г. обнаружен 32-разрядный полиморфик-вирус, заражающий ЕХЕ-файлы Windows 95.
|
|
|
В результате в начале файла, зараженного подобным вирусом, идет набор бессмысленных на первый взгляд инструкций, причем некоторые комбинации, которые вполне работоспособны, не берутся фирменными дизассембле-рами (например, сочетание CS:CS: или CS:NOP). И среди этой "каши" из команд и данных изредка проскальзывают MOV, XOR, LOOP,JMP — инструкции, которые действительно являются "рабочими".
