Identifiering av krypteringskod

Cody Pierce som jobbar på TippingPoint Digital Vaccine Laboratories har skrivit ett blogginlägg om hur du kan identifiera kryptering- och komprimerings-kod med hjälp av att analysera vilka instruktioner som används flitigt.

I sitt exempel så använder de sig av Kraken-bot som är skadlig kod och i assemblerkod ser ett kodstycke ut enligt följande:

001AF08F   shl     eax, 4

001AF092   add     eax, [ebp+var_8]

001AF095   mov     edi, edx

001AF097   shr     edi, 5

001AF09A   add     edi, [ebp+var_C]

001AF09D        eax, edi

001AF09F   lea     edi, [esi+edx]

001AF0A2   xor     eax, edi

Här ovan kan vi alltså se att det är shiftande och xor som används flitigt och detta är såldes förmodligen en indikation på kryptering/komprimering.

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>