| dbo:abstract
|
- En el contexto del malware, un código polimórfico es aquel que usa la técnica del polimorfismo, que consiste en usar un motor polimórfico embebido para cambiar su propio código mientras mantiene su algoritmo original intacto. Cambia solo parte del código, en contraste con el metamorfismo que cambia todo el código, manteniendo otra parte del código igual. Por ejemplo, es habitual que un virus polimórfico tenga un cuerpo de programa de virus cifrado (EVB, del inglés Encrypted Virus Body) y una rutina de descifrado de virus (VDR, del inglés Virus Decryption Routine) que hace de descifrador/cargador. Cuando se inicia una aplicación infectada, el VDR se encarga de cargar en memoria el texto cifrado, descifrarlo en memoria y finalmente ejecutarlo. Una vez ejecutado, el virus se vuelve a cifrar y se agrega a otra aplicación vulnerable. El cuerpo del virus, que está cifrado no se altera. En el descifrador/cargador, que quedaría invariante, aplicamos polimorfismo para generar diferentes versiones del mismo. A veces, la clave de cifrado de cada copia es distinta y es generada aleatoriamente para cambiar la apariencia del cuerpo del virus cifrado. Al malware que tiene código polimórfico se le llama malware polimórfico. El polimorfismo previene la detección e identificación del malware mediante mecanismos de ajuste de patrones. Consigue que el malware no tenga una manifestación constante, ya sea en almacenamiento o en memoria, y que una vez que una instancia sea conocida los sistemas de detección no puedan encontrarla siempre. El polimorfismo varía la apariencia de las instancias de malware. La detección de malware usando ajuste de patrones de códigos es una técnica que usan antivirus y sistemas de detección de intrusiones para intentar localizar programas maliciosos analizando ficheros, paquetes de red, memoria,... Si ese tipo de software encuentra patrones de código que coinciden con el de una amenaza conocida, toman los pasos apropiados para neutralizar dicha amenaza. Para conseguir código polimórfico el malware dispone de un motor polimórfico embebido que automáticamente puede generar distintas transformaciones del código, del orden de millones. Para realizar estas transformaciones el motor polimórfico usa técnicas de ofuscación y, a veces, cifrado De esta forma el motor polimórfico cambia las características identificables del malware (nombres de ficheros, tipos, cadenas, flujo de control, claves de cifrado,...) mientras mantiene su funcionalidad. Para facilitar la creación del motor polimórfico se han creado toolkits polimórficos. Es habitual que muchos tipos de malware sean polimórficos incluyendo virus, gusanos, troyanos, keyloggers o bots (es)
- Un virus polymorphe est un virus informatique qui, lors de sa réplication, modifie sa représentation, ce qui empêche un logiciel antivirus de l'identifier par sa signature. Bien qu'en apparence le virus change (du point de vue d'un programme antivirus qui lit le programme infecté), le fonctionnement du virus (sa méthode d'infection et sa charge utile) reste le même : les algorithmes ne sont pas modifiés, mais leur traduction en code-machine l'est. (fr)
- In computing, polymorphic code is code that uses a polymorphic engine to mutate while keeping the original algorithm intact - that is, the code changes itself every time it runs, but the function of the code (its semantics) will not change at all. For example, the simple math expressions 3+1 and 6-2 both achieve the same result, yet run with different machine code in a CPU. This technique is sometimes used by computer viruses, shellcodes and computer worms to hide their presence. Encryption is the most common method to hide code. With encryption, the main body of the code (also called its payload) is encrypted and will appear meaningless. For the code to function as before, a decryption function is added to the code. When the code is executed, this function reads the payload and decrypts it before executing it in turn. Encryption alone is not polymorphism. To gain polymorphic behavior, the encryptor/decryptor pair is mutated with each copy of the code. This allows different versions of some code which all function the same. (en)
- 컴퓨터 용어로 다형성 코드(영어: polymorphic code)는원래의 알고리즘을 건드리지 않고 그대로 유지하면서 뮤테이트(mutate)를 수행하기 위한 을 사용하는 코드이다. 즉, 실행할 때마다 코드는 스스로 변화되지만 코드의 기능(시맨틱)은 전혀 변하지 않는다. 이를테면 1+3과 6-2는 각기 다른 값과 동작을 사용하지만 둘 다 같은 결과를 수행한다. 이 기법은 컴퓨터 바이러스, 셸코드, 웜이 자신의 존재를 숨기기 위해 사용되곤 한다. 암호화는 코드를 숨기는 가장 흔한 방식이다. 암호화와 함께 코드의 주요 본체(페이로드라고도 함)는 암호화되며 의미없는 것으로 나타난다. 이전처럼 코드가 기능하려면 복호화 함수를 코드에 추가해야 한다. 코드가 실행될 때 이 함수는 페이로드를 일고 실행 전에 복호화를 수행한다. 암호화 그 자체는 다형성이 아니다. 다형성 행위를 수행하려면 암호화/복호화 쌍이 코드의 각 사본과 함께 뮤테이트(mutate) 처리되어야 한다. 이로써 일부 코드가 버전이 다르더라도 모든 것이 동일하게 기능하게 된다. (ko)
- ポリモルフィックコード(英: Polymorphic code)とは、本来のアルゴリズムを保ったまま変化していくコード(プログラム)である。この技法はコンピュータウイルス、シェルコード、ワームが自身の存在を隠すために使われる。 アンチウイルスソフトウェアや侵入検知システムの多くは、ファイルやコンピュータネットワーク上のパケットを調べ、悪意あるコードがないか調べる。これにおける検出方法はもっぱらパターンマッチであるため、ポリモルフィック手法によりコードを絶えず変化させることで、検出を難しくすることができる。 ポリモルフィックコードを実現する手段としてよく使われるのは暗号である。しかし、コード全体を暗号化してしまうと実行不可能となるので、それはできない。したがって、一部のコードは暗号化せずに残しておく。アンチウイルスソフトウェアは、その暗号化されない一部分をターゲットとして探索する。 悪意あるプログラマは、暗号化できない復号エンジン部をウイルスやワームが伝播するたびに書き換えることでセキュリティソフトウェアから逃れようとする。また、アンチウイルスソフトウェア側もマルウェアを確実に検出するため、復号エンジン部の突然変異によっても変化しないパターンを見つけ出そうとする。 世界初のポリモルフィックコード方式のウイルスを作ったのは Mark Washburn である。そのウイルス 1260 は1990年に書かれた。もっとよく知られているポリモルフィックコード方式のウイルスとしては、1992年にブルガリアのクラッカー Dark Avenger(en:Dark Avenger)が作った、ミューテーションエンジン(Dark Avenger Mutation Engineを略してDAME、あるいはMtEと略される)がある。MtEの著しい特徴は、それ自身は厳密にはウイルスではなく、他のウイルスにとりつき、そのウイルスのコードを暗号化する「エンジン」である点である。 (ja)
- Kod polimorficzny – kod, który zmienia się w czasie, nie zmieniając oryginalnego algorytmu w nim zawartego. Przeważnie kod polimorficzny jest używany przez wszelkiego rodzaju wirusy i robaki komputerowe. Wynika to z samego działania programów antywirusowych, które szukają zainfekowanych plików poprzez znajdowanie w nich znanych . Wprowadzając modyfikacje kodu w każdej nowej kopii wirusa, znacznie komplikuje się zadanie programów antywirusowych. Do uzyskania kodu polimorficznego przeważnie używa się szyfrowania kodu. Rzeczywisty kod programu jest zaszyfrowany i za każdym uruchomieniem programu deszyfrowany. Kod deszyfrujący nie może być zaszyfrowany, ponieważ byłby on bezużyteczny („nieuruchamialny”). Właśnie deszyfrujący fragment kodu jest używany przez programy antywirusowe do stwierdzenia, czy program jest „podejrzany”. Aby zmylić programy antywirusowe programiści próbują „zaciemnić” kod deszyfrujący. Do pomocy w generowaniu zmian w kodzie deszyfrującym używa się następujących prostych akcji:
* zamienia się instrukcje na ich odpowiedniki dające w rezultacie ten sam efekt – na przykład zamiast dzielić przez 2 ( x=x/2 ) można użyć przesunięcia bitowego w prawo o 1 bit ( x=x>>1 )
* transpozycja, zamiana miejscami instrukcji, które nie mają wpływu na działanie sekwencji instrukcji
* wprowadzanie instrukcji lub sekwencji instrukcji nic nie wnoszących do działania algorytmu (NOP), np. działających na lokalnych zmiennych Dodatkowo modyfikacji ulec może również zaszyfrowany kod programu. Podczas replikacji program może użyć nowego klucza do zaszyfrowania własnego kodu. (pl)
- Per virus polimorfo si intende un virus che nasconda la cosiddetta "impronta virale", ovvero la sequenza di byte che identifica in maniera univoca un virus, il quale crittografa il proprio codice e utilizza di infezione in infezione una chiave diversa. Tale software è inoltre dotato di un engine, anch'esso cifrato, che modifica in maniera casuale la procedura di decrittazione (in chiaro) dopo ogni infezione.Eseguendo un programma infettato con un virus polimorfo, la routine di decrittazione decodifica la parte cifrata del virus, permettendo l'infezione di nuovi file. Durante l'infezione a venire copiato è anche l'engine, che crea in maniera casuale una nuova routine per cifrare il virus, diversa dalle precedenti (e con spesso istruzioni fatte per sviare gli antivirus) allo scopo di mettere fuori pista i programmi antivirus. La parte più importante di questo tipo di virus è quindi il motore, l'engine, che in pratica trasforma un blocco di codice in un altro blocco di codice con le stesse funzionalità del precedente. (it)
- Polymorfisk kod är källkod som använder en polymorfisk motor för att koden medan originalalgoritmen förvaras intakt. Detta innebär att koden ändrar sig själv varje gång programmet körs, men kodens/(mjukvarans) innebörd inte kommer att förändras alls. Denna teknik används bland annat för att förhindra antivirusprogrammens upptäckt av datorvirus och internetmaskar. Denna datorrelaterade artikel saknar väsentlig information. Du kan hjälpa till genom att lägga till den. (sv)
- Полиморфизм компьютерного вируса (греч. πολυ- — много + греч. μορφή — форма, внешний вид) — специальная техника, используемая авторами вредоносного программного обеспечения для снижения уровня обнаружения вредоносной программы классическими антивирусными продуктами. (ru)
- Поліморфний код — це програмний код, котрий може себе змінювати, без зміни свого алгоритму. Для мутації коду може бути використаний поліморфний генератор. Код може змінюватися кожного разу під час виконання, але результат роботи ніколи не змінюється. Для прикладу є функція котра має повертати число 4, даний результат можуть повертати багато виразів: -1 + 5, 1 * 4, 7 - 3. Ця техніка інколи використовується у комп'ютерних вірусах, у цьому випадку вони називаються поліморфні віруси. У вірусах ця технологія використовується для того щоб ускладнити знаходження вірусів антивірусними програмами. (uk)
|
| rdfs:comment
|
- Un virus polymorphe est un virus informatique qui, lors de sa réplication, modifie sa représentation, ce qui empêche un logiciel antivirus de l'identifier par sa signature. Bien qu'en apparence le virus change (du point de vue d'un programme antivirus qui lit le programme infecté), le fonctionnement du virus (sa méthode d'infection et sa charge utile) reste le même : les algorithmes ne sont pas modifiés, mais leur traduction en code-machine l'est. (fr)
- 컴퓨터 용어로 다형성 코드(영어: polymorphic code)는원래의 알고리즘을 건드리지 않고 그대로 유지하면서 뮤테이트(mutate)를 수행하기 위한 을 사용하는 코드이다. 즉, 실행할 때마다 코드는 스스로 변화되지만 코드의 기능(시맨틱)은 전혀 변하지 않는다. 이를테면 1+3과 6-2는 각기 다른 값과 동작을 사용하지만 둘 다 같은 결과를 수행한다. 이 기법은 컴퓨터 바이러스, 셸코드, 웜이 자신의 존재를 숨기기 위해 사용되곤 한다. 암호화는 코드를 숨기는 가장 흔한 방식이다. 암호화와 함께 코드의 주요 본체(페이로드라고도 함)는 암호화되며 의미없는 것으로 나타난다. 이전처럼 코드가 기능하려면 복호화 함수를 코드에 추가해야 한다. 코드가 실행될 때 이 함수는 페이로드를 일고 실행 전에 복호화를 수행한다. 암호화 그 자체는 다형성이 아니다. 다형성 행위를 수행하려면 암호화/복호화 쌍이 코드의 각 사본과 함께 뮤테이트(mutate) 처리되어야 한다. 이로써 일부 코드가 버전이 다르더라도 모든 것이 동일하게 기능하게 된다. (ko)
- Polymorfisk kod är källkod som använder en polymorfisk motor för att koden medan originalalgoritmen förvaras intakt. Detta innebär att koden ändrar sig själv varje gång programmet körs, men kodens/(mjukvarans) innebörd inte kommer att förändras alls. Denna teknik används bland annat för att förhindra antivirusprogrammens upptäckt av datorvirus och internetmaskar. Denna datorrelaterade artikel saknar väsentlig information. Du kan hjälpa till genom att lägga till den. (sv)
- Полиморфизм компьютерного вируса (греч. πολυ- — много + греч. μορφή — форма, внешний вид) — специальная техника, используемая авторами вредоносного программного обеспечения для снижения уровня обнаружения вредоносной программы классическими антивирусными продуктами. (ru)
- Поліморфний код — це програмний код, котрий може себе змінювати, без зміни свого алгоритму. Для мутації коду може бути використаний поліморфний генератор. Код може змінюватися кожного разу під час виконання, але результат роботи ніколи не змінюється. Для прикладу є функція котра має повертати число 4, даний результат можуть повертати багато виразів: -1 + 5, 1 * 4, 7 - 3. Ця техніка інколи використовується у комп'ютерних вірусах, у цьому випадку вони називаються поліморфні віруси. У вірусах ця технологія використовується для того щоб ускладнити знаходження вірусів антивірусними програмами. (uk)
- En el contexto del malware, un código polimórfico es aquel que usa la técnica del polimorfismo, que consiste en usar un motor polimórfico embebido para cambiar su propio código mientras mantiene su algoritmo original intacto. Cambia solo parte del código, en contraste con el metamorfismo que cambia todo el código, manteniendo otra parte del código igual. Al malware que tiene código polimórfico se le llama malware polimórfico. Es habitual que muchos tipos de malware sean polimórficos incluyendo virus, gusanos, troyanos, keyloggers o bots (es)
- In computing, polymorphic code is code that uses a polymorphic engine to mutate while keeping the original algorithm intact - that is, the code changes itself every time it runs, but the function of the code (its semantics) will not change at all. For example, the simple math expressions 3+1 and 6-2 both achieve the same result, yet run with different machine code in a CPU. This technique is sometimes used by computer viruses, shellcodes and computer worms to hide their presence. (en)
- Per virus polimorfo si intende un virus che nasconda la cosiddetta "impronta virale", ovvero la sequenza di byte che identifica in maniera univoca un virus, il quale crittografa il proprio codice e utilizza di infezione in infezione una chiave diversa. (it)
- ポリモルフィックコード(英: Polymorphic code)とは、本来のアルゴリズムを保ったまま変化していくコード(プログラム)である。この技法はコンピュータウイルス、シェルコード、ワームが自身の存在を隠すために使われる。 アンチウイルスソフトウェアや侵入検知システムの多くは、ファイルやコンピュータネットワーク上のパケットを調べ、悪意あるコードがないか調べる。これにおける検出方法はもっぱらパターンマッチであるため、ポリモルフィック手法によりコードを絶えず変化させることで、検出を難しくすることができる。 ポリモルフィックコードを実現する手段としてよく使われるのは暗号である。しかし、コード全体を暗号化してしまうと実行不可能となるので、それはできない。したがって、一部のコードは暗号化せずに残しておく。アンチウイルスソフトウェアは、その暗号化されない一部分をターゲットとして探索する。 悪意あるプログラマは、暗号化できない復号エンジン部をウイルスやワームが伝播するたびに書き換えることでセキュリティソフトウェアから逃れようとする。また、アンチウイルスソフトウェア側もマルウェアを確実に検出するため、復号エンジン部の突然変異によっても変化しないパターンを見つけ出そうとする。 (ja)
- Kod polimorficzny – kod, który zmienia się w czasie, nie zmieniając oryginalnego algorytmu w nim zawartego. Przeważnie kod polimorficzny jest używany przez wszelkiego rodzaju wirusy i robaki komputerowe. Wynika to z samego działania programów antywirusowych, które szukają zainfekowanych plików poprzez znajdowanie w nich znanych . Wprowadzając modyfikacje kodu w każdej nowej kopii wirusa, znacznie komplikuje się zadanie programów antywirusowych. Do pomocy w generowaniu zmian w kodzie deszyfrującym używa się następujących prostych akcji: (pl)
|
