avmaskera skadlig kod

det finns ju åtgärder man kan vidta för att maskera skadlig kod inuti en exe fil.

Då undrar jag vad det finns för åtgärder man kan till för att så att säga avmaskera den eventuella skadliga koden inuti exe filen?

Alltså vad man själv kan göra för att hitta den skadliga koden?

Bra att veta om man till exempel laddar ner något program som man känner sig osäker på, och vill ta sig en egen extra titt utöver det vanliga antivirus programmet.

Du jämför typ md5-hash på din misstänkta .exe-fil mot en garanterat ren kopia från ursprungskällan.

Det kräver, om du endast har exen att utgå från, reverse engineering där du letar efter uppackningsrutiner osv. Det är lite för komplicerat för att beskriva i ett forum, men en bra början är boken Practical Malware Analysis.

Practical Malware analys alltså, tackar tackar ska kolla upp denna genast.

Yes yes! Skulle då till exempel ett program som nirsoft kunna generera fram md5-hash'n från exe filer? eller är jag ute och cyklar

http://superuser.com/questions/24577...y-on-windows-7

Tackar

En intressant egenskap hos md5 är att det går att göra två olika filer med samma md5-hash vilket inte är så bra. Finns bättre alternativ som sha2 256.

Helt sant att den inte det inte är unik (därav "typ" i mitt inlägg), men det är ju inte sha256 heller, om filerna får bli mycket större än vi kan hantera idag.

Men det är inte lätt att ta en given md5-summa och tillverka en sådan fil - Du måste prova dig fram...

Kollisioner är inte ett praktiskt problem i detta fall. Att försöka skapa en fil med samma md5-summa som dessutom är körbar, med en rimlig storlek är helt enkelt inte praktiskt genomförbart.

Ja, 2^134 gånger ungefär. [https://www.iacr.org/archive/eurocry...6/54790136.pdf]