by TorTukiTu » Thu Mar 25, 2010 9:40 pm
Bonjour,
Tout d'abord sache que même si je développe depuis des lustres en cpp, suis à des années lumière d'être un spécialiste en viro informatique. Donc, l'idée qui suit n'est qu'une suggestion.
Cependant, on isole la signature d'un virus. On ne la crée pas. Voici comment je m'y prendrais:
Le but est de retrouver des suites d'octets constantes entre x copies virales.
Un moyen très simple et de comparer les binaires et de garder les morceaux qui sont constants entre chaque copie. Ce sera tes signatures potentielles.
(Utilise des algos d'alignement, il y en a des tonnes, regarde un peu comment fonctionne Blast)
Ensuite, tu regardes ce que tu as dans ces bouts de code.
Puis tu conserves la suites d'instructions la plus spécifique dans ce que tu as pu isoler => et voilà ta signature.
C'est juste une idée toute simple, car, à mon humble avis, dès que le virus a un code assez polymorphique, la chose doit vite se corser.
La tortue.