为什么反病毒不能在解密中检测加密的病毒？

Question

有些病毒是加密的，所以反病毒无法识别它们，但我不明白的是:为什么反病毒不能检测到它们，考虑到它们在运行前必须自己解密呢？在病毒能够运行之前，反病毒难道不了解解密步骤中的恶意代码吗？

Answer 1

恶意软件可以通过几种方式对自身进行加密，以阻止反病毒检测：

1. 从目标特定信息(如已知文件的散列、用户名和网络共享)派生密钥。看看Ars Technica对Gauss的描述。
2. 用随机但相对较短的密钥加密自己。当恶意软件运行时，它将不得不蛮力地强制密钥。许多AV沙箱对特定示例可以运行的时间进行超时，如果蛮力进程花费的时间比此超时时间更长，则恶意有效负载将不会被解密。
3. 从互联网上检索密钥。攻击者可能托管带有密钥的web服务器。然后，他们可以使用定时、IP信息或基于客户端的参数来确定是否应该发送密钥。

当然，为了运行加密的有效负载，必须解密恶意软件。如果它被解密，反病毒可能检测到它，但恶意软件可能首先检测到AV。

最后，使用基于主机的、随机的或基于网络的密钥进行加密有效负载的机制本身可以用作恶意软件的签名。AV可能不知道示例会做什么，但它可能会首先阻止它运行。