Taggat med: dvlabs

Identifiering av krypteringskod

Cody Pierce som jobbar på TippingPoint Digital Vaccine Laboratories har skrivit ett blogginlägg om hur du kan identifiera kryptering- och komprimerings-kod med hjälp av att analysera vilka instruktioner som används flitigt.

I sitt exempel så använder de sig av Kraken-bot som är skadlig kod och i assemblerkod ser ett kodstycke ut enligt följande:

001AF08F   shl     eax, 4

001AF092   add     eax, [ebp+var_8]

001AF095   mov     edi, edx

001AF097   shr     edi, 5

001AF09A   add     edi, [ebp+var_C]

001AF09D   xor     eax, edi

001AF09F   lea     edi, [esi+edx]

001AF0A2   xor     eax, edi

Här ovan kan vi alltså se att det är shiftande och xor som används flitigt och detta är såldes förmodligen en indikation på kryptering/komprimering.