Техника выживания в мутной воде или как обуть антивирус

       

передача управления по структурному исключению


И что же? Оба антивируса молчат, а отладчики при достижении строки 3149111h забрасывают нас далеко в ядро и далеко не каждый хакер знает, как заставить soft-ice отобразить истинный адрес перехода (правильный ответ: дать команду xframe).

Напоследок – подсунем виртуальной машине неизвестную ей инструкцию. Что ни будь из набора мультимедийных команд P-III+. Вот, хотя бы туже prefectch [eax], которой соответствует следующий опкод: 0F 18 00, и которая осуществляет упреждающую предвыборку данных в кэш. Навряд ли антивирусы станут ее эмулировать. Но разве они не могут просто пропустить ее? В том-то и дело, что не могут! Неизвестная инструкция имеет неизвестную длину и определить ее границы эвристическими методами невозможно. Эмулятор просто не будет знать откуда ему продолжать разбор кода…



Содержание раздела