|
O‘zbekiston respublikasiaxborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali
|
| bet | 47/109 | | Sana | 07.01.2024 | | Hajmi | 0,96 Mb. | | #131703 |
Bog'liq Ibragimov mustaqil ishiPolimorf shifrlovchilar
Polimorf viruslar shifrlovchilarining kodini yaratish uchun murakkab algoritmlardan foydalanadilar: ko'rsatmalar (yoki ularning ekvivalentlari) infektsiyadan infektsiyaga qayta tartibga solinadi, NOP, STI, CLI, STC, CLC, DEC foydalanilmagan registr, XCHG kabi hech narsani o'zgartirmaydigan buyruqlar bilan suyultiriladi. foydalanilmagan registrlar va boshqalar d.
To'liq huquqli polimorf viruslar yanada murakkab algoritmlardan foydalanadi, buning natijasida virus parolini hal qiluvchi SUB, ADD, XOR, ROR, ROL va boshqalarni ixtiyoriy raqam va tartibda o'z ichiga olishi mumkin. Kalitlarni va boshqa shifrlash parametrlarini yuklash va o'zgartirish, shuningdek, Intel protsessorining deyarli barcha ko'rsatmalarini topish mumkin bo'lgan ixtiyoriy operatsiyalar to'plami bilan amalga oshiriladi (Qo'shish, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP. ..) barcha mumkin bo'lgan manzillash rejimlari bilan. Polimorf viruslar ham paydo bo'ladi, ularning shifrlovchisi Intel386 gacha bo'lgan ko'rsatmalardan foydalanadi va 1997 yil yozida Windows95 EXE fayllarini zararlaydigan 32 bitli polimorf virus topildi. Endi polimorf viruslar allaqachon mavjud bo'lib, ular zamonaviy protsessorlarning turli buyruqlaridan ham foydalanishlari mumkin.
Natijada, bunday virus bilan zararlangan faylning boshida bir qarashda ma'nosiz bo'lgan ko'rsatmalar to'plami mavjud va juda funktsional bo'lgan ba'zi kombinatsiyalar xususiy qismlarga ajratuvchilar tomonidan qabul qilinmaydi (masalan, CS:CS kombinatsiyasi). : yoki CS:NOP). Va buyruqlar va ma'lumotlarning "chalkashliklari" orasida MOV, XOR, LOOP, JMP vaqti-vaqti bilan o'tib ketadi - bu haqiqatan ham "ishlaydigan" ko'rsatmalar.
Polimorfizm darajalari
Ushbu viruslarning shifrlovchilarida joylashgan kodning murakkabligiga qarab, polimorf viruslarning darajalarga bo'linishi mavjud. Ushbu bo'linishni birinchi bo'lib doktor. Alan Solomon, bir muncha vaqt o'tgach, Vesselin Bonchev uni kengaytirdi.
1-daraja: doimiy kodga ega bo'lgan ma'lum bir deşifrlovchi to'plamiga ega bo'lgan va zararlanganda ulardan birini tanlaydigan viruslar. Bunday viruslar "yarim polimorf" bo'lib, ular "oligomorfik" deb ham ataladi. Misollar: "Cheeba", "Slovakiya", "Kit".
2-daraja: Virus shifrlovchisi bir yoki bir nechta doimiy ko'rsatmalarni o'z ichiga oladi, lekin asosiy qismi doimiy emas.
3-daraja: shifrlovchida foydalanilmagan ko'rsatmalar mavjud - NOP, CLI, STI va boshqalar kabi "axlat".
4-daraja: shifrlovchi almashtiriladigan ko'rsatmalar va tartibni o'zgartirish (aralashtirish) ko'rsatmalaridan foydalanadi. Shifrni ochish algoritmi o'zgarmaydi.
5-daraja: yuqoridagi barcha usullar qo'llaniladi, shifrni ochish algoritmi doimiy emas, virus kodini qayta shifrlash va hatto shifrlovchi kodning o'zini qisman shifrlash mumkin.
6-daraja: o'zgaruvchan viruslar. Virusning asosiy kodi o'zgarishi mumkin - u bloklarga bo'linadi, ular infektsiyalanganida tasodifiy tartibda qayta tartibga solinadi. Virus funktsional bo'lib qoladi. Bunday viruslar shifrlanmasligi mumkin.
Yuqoridagi bo'linish kamchiliklardan xoli emas, chunki u bitta mezonga muvofiq amalga oshiriladi - virus niqoblarining standart texnikasidan foydalangan holda shifrlovchi kod orqali virusni aniqlash qobiliyati:
1-daraja: virusni aniqlash uchun bir nechta niqobga ega bo'lish kifoya
2-daraja: "joker belgilar" yordamida niqobni aniqlash
3-daraja: "axlat" ko'rsatmalarini olib tashlaganidan keyin niqob yordamida aniqlash
4-daraja: niqob bir nechta mumkin bo'lgan kod variantlarini o'z ichiga oladi, ya'ni. algoritmga aylanadi
5-daraja: niqob yordamida virusni aniqlay olmaslik
Bunday bo'linishning etishmasligi "3-darajali" deb ataladigan 3-darajali polimorfizm virusida namoyon bo'ladi. Ushbu virus eng murakkab polimorf viruslardan biri bo'lib, yuqoridagi bo'limga ko'ra 3-darajaga kiradi, chunki u doimiy shifrni ochish algoritmiga ega, undan oldin juda ko'p sonli "axlat" buyruqlari mavjud. Biroq, ushbu virusda axlat ishlab chiqarish algoritmi mukammallikka erishildi: i8086 protsessorining deyarli barcha ko'rsatmalarini shifrlash kodida topish mumkin.
Agar biz virus kodini (emulyatorlar) avtomatik ravishda shifrlash tizimlaridan foydalanadigan antiviruslar nuqtai nazaridan darajalarga bo'linadigan bo'lsak, u holda darajalarga bo'linish virus kodini emulyatsiya qilishning murakkabligiga bog'liq bo'ladi. Virusni boshqa usullar yordamida aniqlash mumkin, masalan, elementar matematik qonunlar yordamida shifrni ochish va hokazo.
Shuning uchun, menimcha, virusli niqoblar mezonidan tashqari, boshqa parametrlar ham ishtirok etadigan ob'ektiv bo'linish:
Polimorfik kodning murakkablik darajasi (deshifrlash kodida mavjud bo'lgan barcha protsessor ko'rsatmalarining foizi)
Emulyatsiyaga qarshi usullardan foydalanish
Deshifrlash algoritmining izchilligi
Decryptor uzunligining doimiyligi
|
|
Bosh sahifa
Aloqalar
Bosh sahifa
O‘zbekiston respublikasiaxborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali
|
