アカウント名:
パスワード:
実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。
1994年にはすでにありました。MS-DOS上のvirusの話だけど。ミューテーションウイルスと呼ばれていました。
デバッガ上またはVMware等の仮想システム上で実行されていることを検出する機能があり、これを検出した場合、活動を停止したり、自分自身を消去するものがある
cloakingも同じく。MS-DOSのAPIをフックして、感染したファイルを開くと一時的に除去したり、メモリ上から消えたり。
あれからもう10年以上経っているのだし、駆除妨害はもっと面白い手法が生まれててもおかしくないのですが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
善し悪しは目的しだいかと。 (スコア:1)
単にコンピュータの数を確保したいだけで、セキュリティの甘いコンピュータが大量にあれば
感染力は強いが、検出されやすいというのも合理的な戦略だとおもいます。
Re:善し悪しは目的しだいかと。 (スコア:1, 参考になる)
最近のマルウェアは寿命を延ばすために解析しにくい工夫がなされているものが多いですよ。
Re:善し悪しは目的しだいかと。 (スコア:1, おもしろおかしい)
Re:善し悪しは目的しだいかと。 (スコア:3, 参考になる)
”ボットネット概要”発表 - ISS高橋氏・ラック新井氏がボットを語る [mycom.co.jp]
>この中で、パターンマッチング対策として紹介されているのが、圧縮ツールを用いた難読化だ。
>SymantecのKevin Hogan氏も指摘しているが、実行ファイルを実行可能なままパッキング(圧縮)=難読化させる手法で、
>これにより1つの実行ファイルが複数のパターンをもつことになり、シグネチャ(定義ファイル)ベースでの検知を逃れることができる。
もっと詳しい資料は、JPCERT/CC [jpcert.or.jp]のボットネット研究資料 [jpcert.or.jp]にもあります。
最近の事例だと、Storm Wormがrootkit的な技
Re:善し悪しは目的しだいかと。 (スコア:1)
1994年にはすでにありました。MS-DOS上のvirusの話だけど。ミューテーションウイルスと呼ばれていました。
cloakingも同じく。MS-DOSのAPIをフックして、感染したファイルを開くと一時的に除去したり、メモリ上から消えたり。
あれからもう10年以上経っているのだし、駆除妨害はもっと面白い手法が生まれててもおかしくないのですが。
Re:善し悪しは目的しだいかと。 (スコア:1)
ファイルサイズやリソースなど誰も気にしなくなったため、
ミューテーションとかクローキングなんてしなくなってませんか?
ウイルス対策製品が導入されていないPCも十分に多いのだから、
それをターゲットにすればよしと。
さらに言えば、既存の実行ファイルにくっついて感染するウイルスよりも、
単体で動作するワームのほうが主流に見えます。
これも、Windows時代になって、システムのファイル数が飛躍的に増大し、
ディレクトリも深く掘るのが普通に行われるようになったため、
ワームを隠すのが簡単になったからでしょう。
ウイルスやワームにとっては良い環境になったわけです。
Re:善し悪しは目的しだいかと。 (スコア:1)