Как известно, сигнатура - последовательность байт, однозначно идентифицирующая угрозу (в частности, компьютерный вирус).
Сигнатура должна обладать свойством однозначного детектирования некоторой угрозы. Другими словами, последовательность байт в сигнатуре должна быть достаточно длинной и уникальной, чтобы не давать ложных срабатываний. В то же самое время, одна сигнатура должна определять все возможные вариации конкретной угрозы.
В качестве сигнатуры могут использоваться:
Например, в случае Email-Worm.Win32.Bagle.a для KAV (и его лицензированного аналога от F-Secure) получим следующие смещения в файле, используемые для расчета хеша:
0-1-60-61-62-63-200-201-202-203-220-221-240-241-242-243-460-461-462-463-469-470-471-9688-9689
Байты, выделенные полужирным соответствуют критическим участкам PE-заголовка - сигнатуры MZ, PE+00, смещение на PE-заголовок.
Выделенные курсивом байты также являются частью PE-заголовка.
Сами же значения байтов следующие:
4D-5A-C8-00-00-00-50-45-00-00-E0-00-8A-31-00-00-00-10-00-00-04-00-00-FA-FF
Во вложении доступны инструменты, применяемые в этом эксперименте: программа generate.exe выдает в подкаталог files измененные версии указанной вредоносной программы, перл-скрипт парсит лог проверки KIS данного каталога.
Запуск KIS можно выполнить из командной строки, например, так:
C:\KIS\avp.exe SCAN files /R:log10.txt /i0
Оригинальная идея E. Filiol & M. Christodorescu.![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=757ab333-ea94-433f-849f-d36a4832db0a)
Сигнатура должна обладать свойством однозначного детектирования некоторой угрозы. Другими словами, последовательность байт в сигнатуре должна быть достаточно длинной и уникальной, чтобы не давать ложных срабатываний. В то же самое время, одна сигнатура должна определять все возможные вариации конкретной угрозы.
В качестве сигнатуры могут использоваться:
- Последовательности инструкций.
- Строковые константы, например, сообщения или имя вируса, данное создателем и указанное в файле.
- Маркер-признак зараженности файла, используемый вирусом, чтобы не допустить повторного заражения
- Вирусной сигнатуры.
- Местоположение для поиска сигнатуры (заголовок исполняемого файла, смещение в секции кода или данных и т.д.).
- Метод поиска: обычное сканирование, распаковка исполняемого файла, эмуляция кода и т.д.
Например, в случае Email-Worm.Win32.Bagle.a для KAV (и его лицензированного аналога от F-Secure) получим следующие смещения в файле, используемые для расчета хеша:
0-1-60-61-62-63-200-201-202-203-220-221-240-241-242-243-460-461-462-463-469-470-471-9688-9689
Байты, выделенные полужирным соответствуют критическим участкам PE-заголовка - сигнатуры MZ, PE+00, смещение на PE-заголовок.
Выделенные курсивом байты также являются частью PE-заголовка.
Сами же значения байтов следующие:
4D-5A-C8-00-00-00-50-45-00-00-E0-00-8A-31-00-00-00-10-00-00-04-00-00-FA-FF
Во вложении доступны инструменты, применяемые в этом эксперименте: программа generate.exe выдает в подкаталог files измененные версии указанной вредоносной программы, перл-скрипт парсит лог проверки KIS данного каталога.
Запуск KIS можно выполнить из командной строки, например, так:
C:\KIS\avp.exe SCAN files /R:log10.txt /i0
Оригинальная идея E. Filiol & M. Christodorescu.
Leave a comment