Re: [Hackmeeting] advanced evasion tecniques

Delete this message

Reply to this message
Author: Raistlin
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] advanced evasion tecniques
On 11/04/10 17:50, Johnny wrote:

> settore. In questo caso bisognerebbe allegare al virus la catena di
> decompressione/deoffuscazione, quindi il virus sarebbe una sequenza
> $decompress,run,deobfuscate,run,...,decompress,run,viralCode$. Qualsiasi
> prefisso di questa sequenza e` sospetto se occorre in un file:


Peccato solo che ci siano molti usi "legittimi" per il packing (ad
esempio per proteggere il codice di un programma dal reversing).

--
Raistlin

S0ftPj - Digital Security for Y2K

-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
GCS/E/IT d++(--) s++: a C++++$ UL++++ P--- L+++ E----
W+++ N- o K+ w--- O- M--@ V-- PS++ PE- Y++ PGP++ t++ 5
X@ R+++ tv-- b+++ DI++++ D+ G+ e++++(*) h--- r++ y+++
------END GEEK CODE BLOCK------