Stärke von Polymorphismus

Andreas Haak

>1.) Der enorme technische Aufwand

Der Aufwand ist nicht wirklich groß. Einen Emulator hast Du so oder so - und ob Du nun die bei der Emulation geänderten Speicherbereiche scannst oder aber einen entsprechenden binären log ... .

>2.) Behavior Scanning hat eigentlich keine
>direkten Vorteile gegenüber dem altbewehrem
>normalem Scannen.

Abgesehen davon das die Masse der Daten die effektiv gescannt werden muss deutlich geringer ist, es unanfällig gegen "Patching" ist und es auch mit Metamorphen Viren zurecht kommt - ja - keine Vorteile *lol*.

>Es wird (fast) immer einige Konstante Bytes
>geben.

Nach der Entschlüsselung - ja. Davor? Nicht immer. Bei Polylevel eins oder zwei vielleicht noch. Ab 4 oder 5 - vergiss es.

>Oder zB die Größe der Datei bleibt gleich.

Bei nem geringen Polylevel ja, ansonsten vergiss es *g*.

>Der muss (ca. 99.996%-ig) eine
>Entschlüsslungroutine haben. Also, es ist
>unmöglich einen undetectable virus zu machen.

Die aber nicht statisch sein muss. Besser wäre eine Aussage wie:

Das Betriebssystem muss in der Lage sein ihn auszuführen - also ihn zwangsläufig auch entschlüsseln kann. Folglich ist auch ein Emulator der AV Programme dazu in der Lage.

>Es gibt auf der großen, schönen Welt genau drei
>Leute, die sowas machen können, und wenn
>sie es nicht verbreiten, und das machen sie
>nicht, ist es auch kein Problem.

Na des können schon noch mehr - aber wozu? Die Emulatoren sind gut genug und der Metamorphielevel ist viel zu gering um damtt einen Virus wirklich dauerhaft verstecken zu können. Da versteh ich es eher das die Leute sich auf ELF (Linux) stürzen bzw. auf EPO.

Polymorphie gilt beim ELF Dateiformat ja bislang noch als unmöglich *g*.