On 11/04/10 17:50, Johnny wrote:
> settore. In questo caso bisognerebbe allegare al virus la catena di
> decompressione/deoffuscazione, quindi il virus sarebbe una sequenza
> $decompress,run,deobfuscate,run,...,decompress,run,viralCode$. Qualsiasi
> prefisso di questa sequenza e` sospetto se occorre in un file:
Peccato solo che ci siano molti usi "legittimi" per il packing (ad
esempio per proteggere il codice di un programma dal reversing).