Я хотел бы знать, как получить следующую подпись. Я читал в Интернете, что (по крайней мере, в прошлом) исследователи будут брать «подозреваемый» файл двоичного кода, преобразовывать его в сборку, исследовать его, выбирать фрагменты кода, которые кажутся необычными, и идентифицировать соответствующие байты в машине. код.
Но тогда как достигается подпись вируса?
MIRC.Julie = 6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50472e636f6d0a0d6e31333d207d0a0d6e31343d200a0d6e31353d206374637020313a70696e673a2f6463632073656e6420246e69636b20433a5c57696e646f77735c4a756c696531362c4a50
Кроме того (хотя это может показаться совершенно сумасшедшим), что приведенная выше строка должна что-то значить, я могу только догадываться о последовательности действий, фактическом коде и т. Д. Так что, если он когда-то был «переведен» в этой форме (сигнатура вируса) из сборка, можно ли конвертировать обратно?
На всякий случай вы можете спросить, почему я спрашиваю, что даже я считаю странным вопросом. Вот почему ... Я готовлю свой проект бакалавриата по компьютерным наукам за последний год, и на данный момент мне интересно, можно ли было бы, возможно, генерировать / оценивать / оценивать / прогнозировать вирусные сигнатуры с использованием GA (генетических алгоритмов). Возможно, это поможет сделать мой вопрос немного легче понять, я надеюсь.
Спасибо!