首页
论坛
专栏
课程

[翻译]分析Bagle病毒

2006-10-24 09:28 9328

[翻译]分析Bagle病毒

arhat
31
2006-10-24 09:28
9328
分析Bagle病毒

文档编号:        S02-F020
原作者:        KONSTANTIN ROZINOV
译者:        Arhat.ptg@gmail.com
审校:        null
发布时间:        2006-10-24
原文:http://home.arcor.de/idapalace/papers/bagle_analysis_v.1.0.pdf
关键词:Bagle 蠕虫 病毒 IDA 逆向工程 汇编

1
导言
今天,对大部分反病毒(AV)扫描器来说,它们主要是通过在被扫描的文件内寻找简单的病毒特征 来检测病毒。病毒特征的主要来源是:由分析人员将病毒反汇编成汇编代码,进行分析,然后从中选一些看来是独一无二的代码段。这些独一无二的段的二进制位就是病毒的特征。然而,这个方法对多态变形病毒一点用也不起,因为多态变形病毒每次运行时都会改变它们的代码(也就是病毒的特征)。作为响应,反病毒厂商采用启发式的方法,用译码引擎(能运行二进制的译码器/加载器代码,并打入未加密的二进制内部)确定它是否是病毒。然而,实际的情况是大部分病毒只是一些简单的类型 ??并没有加密或变形,其中的大部分变体是后来才出现的。
这个项目将试着回答下面三个问题:
1.        怎样对病毒进行逆向分析?
2.        能通过逆向分析病毒,找到一个检测,预防,并从病毒和它将来的变体中恢复的好方法吗?
3.        可以使RCE更有效率吗?
在这篇文章里,我们选择研究的病毒是Bagle(也被称作Beagle)。这么做的理由在4.1 。。。

[公告]安全测试和项目外包请将项目需求发到看雪企服平台:https://qifu.kanxue.com

上传的附件:
最新回复 (17)
arhat 31 2006-10-24 09:29
2
0
第二个压缩包,完毕!
上传的附件:
kanxue 8 2006-10-24 11:07
3
0
这篇文章描述的比较仔细,也很基础,有许多软件调试的基础知识。
文章很长,arhat翻译这篇文章花了大量的时间和精力,辛苦!
cxlrb 5 2006-10-24 12:00
4
0
辛苦,支持!
zjgjohn 2006-10-24 14:12
5
0
辛苦了!!!
Aaah 2006-10-24 18:46
6
0
第二个压缩包下载有问题?
kanxue 8 2006-10-24 19:40
7
0
最初由 Aaah 发布
第二个压缩包下载有问题?


我这下载没问题,实在不行,用下载工具下载。
爱国人士 2006-10-24 20:05
8
0
非常感谢,确实是好文章,收藏了

再次感谢您的无私奉贤
HjNer 2006-10-24 21:59
9
0
真的谢谢了!
学习中!!!
Aaah 2006-10-24 22:04
10
0
估计是人品问题
回到家就可以下载了
翻译辛苦
支持
csjwaman 24 2006-10-25 13:30
11
0
能提供DOC格式的文件就更好了。便于编辑后打印出来。
arhat 31 2006-10-25 16:14
12
0
在网上发布PDF有诸多原因,就不重复了。
如果你想自己编辑的话,请向arhat.ptg@gmail.com发封邮件,我到时发给你。
笨笨雄 14 2006-10-26 00:22
13
0
感谢+支持
BlueVoice 2006-10-26 12:57
14
0
非常感谢!辛苦了
role 2006-10-27 08:07
15
0
非常精彩,学习中....
colboy 2006-10-31 12:41
16
0
学习ing!
PFC 2006-11-2 14:12
17
0
GOOD GO GO!
photojiang 2006-11-2 19:12
18
0
对于这种精神,不顶的话是没人性的
游客
登录 | 注册 方可回帖
返回