Autore: Johnny Data: To: hackmeeting Oggetto: Re: [Hackmeeting] advanced evasion tecniques
On Thu, 2010-11-04 at 16:46 +0200, ciaby wrote: > Vuoi fare un virus "undetectable" ? Usa 5 packer/crypter diversi Scusate un'osservazione, probabilmente ingenua non appartenendo io al
settore. In questo caso bisognerebbe allegare al virus la catena di
decompressione/deoffuscazione, quindi il virus sarebbe una sequenza
$decompress,run,deobfuscate,run,...,decompress,run,viralCode$. Qualsiasi
prefisso di questa sequenza e` sospetto se occorre in un file: un
pattern cosi` regolare non lascia davvero una firma rilevabile, almeno
nei virus?