ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Dmitry Radishev                      2:5015/42      13 Aug 2002  08:58:47
 To : Andrey Sokolov
 Subject : Видимо, никто ничего не прочуял...
 -------------------------------------------------------------------------------- 
 

 
 Tuesday August 13 2002 02:13, Andrey Sokolov wrote to All:
 
  AS>     Я говорю о компиляции программ (вирусов, червей), написанных на
  AS> HLL, в ассемблер x86 или в ассемлер любой другой архитектуры,
 
  Зачем брать существующую архитектуру?
 
  AS>  а затем
  AS> перевод отработки компилятора в ассемблер псевдопроцессора.
 
  А потом обратно, чтобы запустить можно было?
 
  AS>  Матрица
  AS> псевдоопкодов, псевдоархитектура, вся эта бодяга генерируется
  AS> совершенно рандомно, или же в зависимости от некоторых заранее
  AS> спроектированных механизмов (ДHК, РHК).
 
  И в комплекте с вирусом поставляется виртуальная машина, всё это
 интерпретирующая? Да ещё и генерящая новую vm - on demand, на лету при
 размножении?
 
  AS>     В результате, одна и та же программа, написанная на HLL, выглядит
  AS> в разные моменты времени совершенно по-разному. С разным размером.
  AS> Общих сигнатур и любой другой общности между копиями кода программы
  AS> (вируса, червя) нет.
 
  А vm - она ведь на реальном асме написана?
 
  Можно проще. Программа компилируется в "псевдокод" (см. напр. Л. Бек "Введение
 в системное программирование"). Псевдокод, опять же, необязательно брать
 близким к ассемблеру, лучше сделать его более "крупнокусковым". Далее, для
 каждой инструкции п-кода есть несколько вариантов реализации её на реальном
 асме. Случайным образом выбирая реализации, мы имеем дофига эквивалентных, но
 побайтно различных, вариантов выполняемого кода программы.
  Другой вопрос, что если программа должна сама рождать новую копию себя - то её
 можно попытаться выцепить по наличию внутри таблицы соответствий п-кода и асма.
 Впрочем, это можно и зашифровать...
 
 All the best //DiBR                        [TEAM ВСЕ МАСТДАЙ] [шестая базовая]
                                                          [http://dibr.nnov.ru]
 
 --- [LPT] LaMerZ PrOfeSsIoNaL TeaM  /member/
  * Origin: FCC rules! (2:5015/42)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Видимо, никто ничего не прочуял...   Andrey Sokolov   13 Aug 2002 03:13:46   Видимо, никто ничего не прочуял...   Dmitry Radishev   13 Aug 2002 08:58:47   Видимо, никто ничего не прочуял...   Andrey Sokolov   14 Aug 2002 19:01:29   Видимо, никто ничего не пpочуял...   Eugene Suchkov   17 Aug 2002 00:53:17