如何从反编译源创建病毒签名

Question

我有一个问题，我必须创建一个病毒签名的石碑病毒(虽然这可以适用于任何病毒/文件)。

让我们假设我有编译和反编译程序的副本。然后，我将继续识别代码中始终存在的病毒中最重要的部分。据我所知，我现在必须在编译的病毒中找到相应的字节，以便为病毒的关键部分创建一个字节签名。

如何从我在反编译版本中识别的代码中找到编译源代码中的对应字节？

额外：

• 代码在程序集中。
• 仅对整个文件使用散列签名并不是一个选项。
• 目前我只有程序集代码，但我始终可以编译以下代码
• 我知道Stoned通常位于引导扇区，而不是文件中。这只是一项学术练习，与任何病毒都相关。

编辑：

这样做的目的是创建病毒签名，用于扫描文件系统以查找受感染的文件以及可能受感染的文件和病毒代码的变体。因此，我不能简单地使用整个文件的散列，我需要使用病毒的特定部分。我可以识别这些部件，但是我不知道如何在机器代码中为我识别的病毒部件找到匹配的字节。

Answer 1

我喜欢这个问题是如何在同一天发布的，南非某所大学发布了一个研究生安全课程的分配，内容是为石制病毒创建一个合适的签名，以尽可能少的假阳性得到正确的结果;)

无论如何，由于提交截止日期现在已经过去，我可以张贴的帮助我。

这篇文章帮助我很好地理解了Stoned中的代码到底在做什么。最终，我使用的签名是接收系统中13h中断的代码。

我选择这个签名是因为

• 破解这段代码可以破解病毒
• 常规软件不应该接受系统中断，所以它是独一无二的石头和相当病毒。

祝星期一考试顺利！