 |
Virus / FirmeVirali |
SearchWiki Virus.RecentChanges Edit Page Page Revisions |
Inizialmente, le "firme virali" erano sequenze di byte caratteristiche di un virus (abbastanza famosa la firma "141"-segno del dollaro-"FLu?" tipica del virus Cascade). Per evitare il problema dei FalsiPositivi?, la firma deve essere caratteristica di un particolare virus, e, per evitare quello dei FalsiNegativi?, deve essere anche difficile da modificare da parte (possibilmente) anche dell'autore stesso del virus. In seguito alla nascita dei VirusPolimorfici?, l'approccio a "firme" non bastò più e si dovette passare all'uso delle espressioni regolari, che descrivono situazioni del tipo "Un byte X seguito entro 5 byte dalla sequenza Y ma non dalla sequenza Z, a meno che entro 12 byte non sia presente la sequenza K". In questo modo un polimorfismo semplice del tipo X..Y che diventa X...Y o X.Y... viene battuto, e un cloaking semplice del tipo X..YZ con X..YZ = sequenza di un programma legittimo e X..Y* = sequenza virale viene ugualmente sconfitto. Possiamo immaginarci il problema come quello del riconoscimento dello "SPAM da un milione di dollari", in cui l'autore manda un messaggio del tipo "QUESTO FUNZIONA DAVVERO!!! PUOI VINCERE 1M $$$!!!", e noi desideriamo riconoscere il messaggio per cestinarlo senza leggerlo. L'autore deve cercare di dissimulare il messaggio al nostro "filtro", lasciandolo però "eseguibile" da parte dei nostri occhi: può scrivere "Q UE S T O FU NZ I O N A", o "Q*U*E*S*T*O", o anche "QUSTO FUNZONA!", ma non puo' scrivere "SGRBD QWERTY ASDFGH"; percio' possiamo sviluppare "regole" in grado di riconoscere il marchio dello spammer. Con il migliorare delle tecniche di polimorfismo le "firme" si sono evolute fino a diventare vere e proprie MacchineAStati?, per certi versi convergendo verso le FirmeEuristiche?.
Edit Page - Page Revisions - WikiHelp - SearchWiki - RecentChanges
Page last modified on November 19, 2005, at 12:23 PM