54 push esp 5D pop ebp
3.2 Phát hiện dựa trên phân tích mã nhị phân.
Một lập trình viên có quyền kiểm tra mã nguồn của chương trình. Kiểm tra thông qua hỗ trợ từ biến, tên thủ tục… Xác định về chức năng của chương trình. Không ít lần những lập trình viên kiểm tra trên chương trình tìm lỗi khóa, bộ nhớ, mà không phải chạy lại chương trình. Việc kiểm tra chức năng, hành vi của chương trình mà không cần chạy chương trình là gọi là phân tích tĩnh.
Lợi ích của phân tích tĩnh là để tối ưu hóa chương trình dễ dàng hơn. Nó có thể sử dụng để loại bỏ mảng, giới hạn kiểm tra … Ngoài việc tối ưu hóa chương trình, nó có thể sử dụng để chỉnh sửa mã nguồn làm cho nó an toàn hơn, hạn chế với chương trình viết bằng ngôn ngữ JAVA.
Virus đa hình sử dụng nhiều kỹ thuật để ngăn chặn việc sử dụng một chữ ký cho nhiều biến thể. Đầu tiên, mã lệnh của virus được mã hóa, và chúng phải qua quá trình giải mã trước khi thực thi virus. Khi virus đa hình thực hiện lây nhiễm vào những chương trình khác, nó sẽ mã hóa phần mã lệnh với một khóa mới khi đó nó sẽ có một diện mạo mới. Những kỹ thuật sử dụng để che dấu như: chèn mã rác, thay đổi thanh ghi, hoán vị… Những kỹ thuật trên sẽ làm thay đổi chữ kỹ để phát hiện chúng. Điều này gây khó khăn cho những phần mềm diệt virus để phát hiện ra những biến thể mới như hình 3.2:
Hình 3.2: Kỹ thuật chèn mã rác
Trong hình 3.2 chức năng của hai đoạn mã là như nhau nhưng trong đoạn mã sau biến đổi thì được chèn một số câu lệnh NOP làm cho chữ ký của hai đoạn mã là khác nhau. Phân tích tĩnh có thể phát hiện virus sử dụng kỹ thuật chèn lệnh NOP, bằng cách sử dụng biểu thức thông thường thay thế cho chữ ký cố định. Để chữ ký dạng biểu thức có
hiệu quả trong trường hợp này thì trong ranh giới của các lệnh ta thêm biểu thức phát hiện NOP như hình 3.3. Trong thực tế, những phần mềm diệt virus hiện đại sử dụng biểu thức thông thường cho chữ ký virus.
Sau đây là cái nhìn tổng quan về kiến trúc của SAFE ( satatic analysis for executables) trong hình 3.4:
Hình 3.4: Kiến trúc của SAFE
Để phát hiện mẫu mã độc trong thực thi, lấy một đại diện trưu tượng của mã độc hại trong trường hợp này là virus đa hình. Đại diện trừu tượng là “tổng quát” của mã độc hại ví dụ: áp dụng kỹ thuật che dấu…. Bây giờ mô tả thành phần của SAFE.
Bộ nạp mẫu: Thành phần này có thư viện của mẫu và tạo giá trị nội tại. Những mẫu được sử dụng nó là đại diện cho mã độc hại.