روش معمولی که با پکرها برخورد میکند، شامل مراحل زیر میشود:
۱. یک پکر را شناسایی کنید. برای شناسایی یک پکر، باید آن به یک گروه پکر اختصاص داده شود. انجام این کار به همین آسانی که به نظر میرسد نیست. پکرهای بسیاری وجود دارند که کدهایشان ثابت است، و با استفاده از رشتههای ساده قابل شناسایی هستند. اما بسیاری پکرها از کد چندشکلی برای تغییر ظاهرشان استفاده میکنند، و برخی از پکرها عمداً از رشتههای قلابی متعلق به سایر پکرها یا کد کامپایلر استاندارد استفاده میکنند، تا برنامه شناسایی کننده را فریب دهند.
۲. یک پکر را تعیین هویت کنید. این مرحله فراتر از شناسایی است. برای تعیین هویت یک پکر، باید آن را در یک نسخه موجود طبقه بندی کنید یا آن را به یک نسخه جدید اختصاص دهید. توانایی تعیین هویت یک پکر، برای آنپک کردن موفق ضروری است، زیرا ممکن است به اندازه کافی اعضای مختلفی در یک گروه وجود داشته باشد که آنپکر مخصوص یک عضو گروه نتواند برای عضوی دیگری از همان گروه به کار برده شود.
۳. یک برنامه شناسایی کننده ایجاد کنید. دو مرحله قبلی معمولاً توسط یک انسان، یا برنامههایی مانند برنامههای شبکه عصبی که در ارتباط با پکرهای اختصاص داده شده به گروههای شناخته شده آموزش دیدهاند، انجام میشدند. این مرحله، در مقابل، نوشتن برنامهای است که عملکردش فقط شناسایی آن گروه، و احتمالاً آن عضو مخصوص است.
۴. یک برنامه آنپکر ایجاد کنید. برخلاف برنامه شناسایی کننده، که هدفش فقط شناسایی پکر است، برنامه آنپکر در واقع اقدامات عکس پکر مربوطه را انجام میدهد، و باینری پک شده را تا حد ممکن به شکل اصلی آن، از جمله فرادادههای آن مانند PE header برای باینریهای Win32 ، بازیابی میکند.
در این پژوهش بر اساس یک ایده جدید میخواهیم بدون استفاده از روشهای معمولی ذکر شده بتوانیم با جلوگیری از آن پک شدن پکرها بدون حضور اشکال زداها روشی را ابداع نماییم. در این حالت با کمک شناسایی انواع رد پاهایی که یک اشکال زدا در محیطی که در آن حضور دارد میگذارد میتوانیم با تغییر محیط به صورتی که نشانههای حضور بد افزار را نشان دهد از باز شدن بستهایها جلوگیری نماییم.
جهت رفع سوالات و مشکلات خود از سیستم پشتیبانی سایت استفاده نمایید .
دیدگاه ارسال شده توسط شما ، پس از تایید توسط مدیران سایت منتشر خواهد شد.
دیدگاهی که به غیر از زبان فارسی یا غیر مرتبط با مطلب باشد منتشر نخواهد شد.