病毒特征和遗传算法

Question

我想知道如何实现以下签​​名。我在网上读到（至少在过去）研究人员将获取“可疑”文件的二进制代码，将其转换为汇编代码，检查它，挑选看起来不寻常的代码部分，并识别机器中相应的字节代码。

那么下面的病毒字符串签名是如何实现的呢？

MIRC.朱莉=6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50472e636f6d0a0d6e31333d207d0a0d6e31343d200 a0d6e31353d206374637020313a70696e673a2f6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50

Also, (although this might sound completely crazy) that string above must mean something, i can only guess a sequence of actions, actual code, etc. So if it was once "translated" in this form (virus signature ）从汇编中，是否可以将其转换回来？

---

以防万一您可能想知道为什么要问我认为是一个奇怪的问题。这就是为什么......我正在准备我的理学学士最后一年的计算机科学项目，此时我想知道是否可以使用 GA（遗传算法）来生成/估计/评估/预测病毒签名。我希望这会让我的问题更容易理解。

谢谢！

Answer 1

您无法将其恢复，因为通常病毒签名是加密的。获取它们的方式是从可执行文件中提取二进制恶意代码，然后将其转换为十六进制表示形式。
希望有帮助

Answer 2

显示的病毒签名可能取决于生成它的扫描程序。我发现很容易相信所有病毒扫描程序都以不同的方式创建其签名。如果没有来源，就无法解释它是如何开发的，即使有来源，我也怀疑反病毒公司会透露这一点，因为它让病毒开发者有机会避免被发现。

“生成/估计/评估/预测”是四个不同的问题，并不是所有问题都最好用 GA 来解决。在选择算法之前，您需要选择您的问题。