54 push esp 5D pop ebp
3.1 Phát hiện virus đa hình dựa trên phương pháp phân tích thống kê vét cạn.
Phương pháp thống kê để phát hiện mã độc hại là một công nghệ mới trong vài năm qua. Nó là một kỹ thuật mới trong lĩnh vực phát hiện mã độc hại. Andrew Wallenstein và cộng sự đề nghị liệt kê những biến thể của cùng một virus có thể sử dụng như một chữ ký. Chữ ký này sau đó có thể sử dụng để phát hiện ra virus đa hình. Thống kê phát hiện virus dựa trên chức năng. Vì vậy những những mẫu virus phải được thực thi trong môi trường sand-box.
Phương pháp thống kê không dựa vào một biến thể của virus. Nó dựa vào lúc sinh ra biến thể mới từ một virus trong nhiều lần thực thi khác nhau. Thực thi nhiều lần một virus, điều này làm nó sinh ra nhiều biến thể khác nhau. Những biến thể này sẽ cùng công nghệ che dấu mã. Nhưng chúng có cùng chức năng hoạt động. Áp dụng phương pháp thống kê đối với những biến thể khác nhau của cùng một virus sẽ giúp việc xây dựng quy trình tạo chữ ký cho một virus có rất nhiều biến thể khác nhau.
Sẽ có một danh sách đầy đủ về việc phân tích một biến thể. Một số phân tích vao gồm: tăng kích thước tập tin, mã rác, nén… Không phải tất cả những phân tích là cần thiết với tất cả biến thể. Điều này dẫn đến sự phát triển của một công cụ phát hiện dựa trên giá trị thống kê cụ thể. Một giá trị ngưỡng cần được xác định riêng cho từng dòng virus có nhiều biến thể khác nhau. Những thống kê đầy đủ kết hợp với giá trị ngưỡng sẽ giúp phát hiện được toàn diện với những loại virus đa hình.
Thông thường, những phần mềm diệt virus thường phát hiện virus sử dụng chữ ký. Nhưng phương pháp này không hiệu quả với virus đa hình. Cho nên cần một phương pháp mới để phát hiện virus đa hình. Ý tưởng phát hiện virus đa hình dựa trên thống kê vét cạn được hình thành. Mặc dù phần thân của virus đa hình thay đổi, những vẫn được tạo bởi chung một số kỹ thuật. Do đó có những điểm chung trong tất cả những biến thể của một virus đa hình. Phương pháp thống kê vét cạn sẽ phân tích tìm ra những điểm chung để có thể phát hiện được tất cả biến thể của một con virus đa hình được phân tích.
Phương pháp này gồm 3 bước: Dịch lại hợp ngữ, thống kê số liệu, phân loại.