user1744108
2013-07-07 22:17:44 UTC
我想解密多態惡意軟件,並想要獲得要感染的實際病毒體。我試圖在ollyDbg中解密virut.ce(這是一種多態惡意軟件),但它使用的是反調試和反仿真技術,因此很難找到病毒體。
我能夠感染病毒加密病毒的主體。但是在多態病毒的情況下,解密例程會變形,因此很難獲得病毒體。
有人可以建議我獲得病毒體的更好方法。或者可以建議我可以在OllyDbg中調試的其他簡單多態惡意軟件。我的目標是從多態惡意軟件中獲取病毒體。
如果您具有啟用IVT的PC(當今大多數PC是),則可以安裝[Ether](http://ether.gtisc.gatech.edu/):通過帶有Debia-lenny-5的硬件虛擬化擴展進行惡意軟件分析提供拆箱服務。據我所知,只有用於研究目的的病毒才能繞過Ether工具。我在研究工作中曾使用過此工具。這很棒
您是否嘗試過使用此工具,但大多數加密病毒都可以解密。我可以知道您的病毒來源是什麼嗎?
因為您的問題也與安全性相關,所以可以在[IT-Security:tag:Malware](http://security.stackexchange.com/questions/tagged/malware?sort=votes&pagesize=15)上發布您的問題。
我正在從攻擊性計算中提取多態病毒。我感染了virut.ce,Bolzano等病毒。現在,我正在嘗試您提到的工具。但是正如您所說,只有出於研究目的而製造的病毒才能繞過以太坊,我不確定這些病毒是否會通過。在哪裡可以看到用於研究目的或可以通過乙醚的病毒?
以太網是一個非常好的工具,它為您在** host **機器中的每個入口點提供了轉儲。是的,開始使用它有點困難,但是會償還您的時間成本。通過繞過我的方法,某些病毒甚至可以檢測到以太幣並阻止其解密。關於此的一些病毒[Danny Quist](http://www.offensivecomputing.net/?q=blog/4)的論文。 -我的數據集包含(1)種真實病毒:許可數據(由公司提供),我從[Mark Stamp](http://www.cs.sjsu.edu/~stamp/cv/ (2)我也對合成病毒進行了工具分析。業界人士對該工具知之甚少
[使用動態分析進行基於圖的惡意軟件檢測](http://www.stat.lanl.gov/staff/CurtStorlie/malware_JCV.pdf)