病毒旁路与二叉树重新包装

Question

为什么不让黑客(或者更准确地说，病毒制造者)对他们的恶意软件进行重新打包，以绕过反病毒软件？因为它解决了病毒签名(类似哈希)的问题，不是吗？反病毒软件怎样才能检测到这些容易修改的东西？

Answer 1

到目前为止，文件哈希并不是检测恶意软件最有用的方法(与几十年前不同)。今天，恶意软件识别(有时是分类)在很大程度上是基于对其操作的实时启发式分析。该分析涉及大量的数据，这些数据主要由应用程序执行的系统调用及其顺序组成。通过一种名为钩住的技术来跟踪系统调用。

当然，还会考虑到其他因素。例如，大多数恶意软件作者在他们的打包器和密码器上都失败了，很明显，一个文件是打包/加密的。还有一些只是使用著名的封隔器/密码器来生成文件，这些文件很容易被杀毒病毒识别。

Answer 2

可以，您可以查找变质代码(http://en.wikipedia.org/wiki/Metamorphic_代码)和多态代码(http://en.wikipedia.org/wiki/Polymorphic_代码)。它们是在每次执行代码时更改代码，从而使恶意软件更难检测的技术。

大多数AV-产品依赖哈希，另一种检测恶意软件的方法是使用启发式扫描来观察软件的行为，然而这并不完美，可能会产生大量的错误。