Технология шифрования

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-036-1

(forb@real.xakep.ru)

Введение в полиморфизм

Как известно, первые вирусы появились давно. Они заражали древние компьютеры, и ничто не могло их остановить, кроме бдительного пользователя машины. Затем были придуманы антивирусы, определяющие заразу по характерным симптомам. Но через какое-то время вирь перестал быть тупой мишенью для антивирусника. Теперь вирус был наделен специальными наворотами, что позволяло ему быть незамеченным в системе. Одним из вариантов защиты от определения является полиморфизм. В далеком 1990 году он чуть было не погубил всю антивирусную индустрию. Только благодаря профессионализму работников лаборатории были внедрены сложные методы, направленные на уничтожение полиморфиков...

Как это работает?

Вообще, полиморфизм - высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре (или, попросту, маске). Обычно детекторы заразы определяют вирь по характерным кускам его кода. В случае с полиморфиком такое не прокатит. Два файла, зараженные одним и тем же вирусом, всегда будут иметь разный размер. Как ты понимаешь, задетектить такую заразу очень сложно. Для этого применяются различные методы, которые будут изложены далее.

Все полиморфики обязательно снабжаются расшифровщиком кода, который по определенному принципу преобразует переданный ему код, вызывая при этом стандартные функции и процедуры операционной системы. Сами методы шифрования могут быть разными, но, как правило, каждая операция имеет свою зеркальную пару. В ассемблере это реализуется очень просто, и таких пар может быть много - ADD/SUB, XOR/XOR, ROL/ROR и т.п. Подобные операции проводятся для расшифровки ячеек памяти.

Немаловажной особенностью полиморфа является то, что вирус содержит мусор, то есть операнды, функции и процедуры, которые служат лишь для запутывания кода. При этом реализуются две цели:

1. Сложность изучения кода при трассировке файла. Эта цель актуальна лишь для новичка, профессионал, который собаку съел на изучении вирусов, сразу во всем разберется.

2. Увеличение элемента случайности в расшифровщике. Помнишь, я говорил про зеркальные команды? Место их вставки имеет огромное влияние на размер кода. С мусором же появляются новые варианты компоновки кода. Размер при каждом из них будет разным.

Ассемблер дает безграничные возможности по вставке мусора, поэтому вставки могут быть различными. Вот некоторые их виды:

1. Регистровые операции. Как правило, арифметические и логические. Примером могут служить следующие команды: inc ax; mov ax,[si+bx-04]; add ax,1234h и др.

2. Зеркальные команды. Такие, как add/sub, inc/dec и прочие. Про них я упоминал выше.

3. Ложные переходы, а также вызов подпрограмм, содержащих мусор (jmp $+10h; call XXXXh).

4. Простой мусор из одиночных операндов (daa; nop; cld и т.д.).

Уровни полиморфизма

Выделяют несколько уровней полиморфизма, используемых в вирусе. Каждый из них по-разному реализует неодинаковый размер файлов, которые были заражены.

Уровень 1. Самые простые олигоморфные вирусы. Они используют постоянные значения для своих расшифровщиков, поэтому легко определяются антивирусами. Из за этого заразу прозвали "не очень полиморфной". Примеры таких вирусов: Cheeba, December_3, Slovakia, V-Sign, Whale.