Onderzoekers van Kumatori Accelerator-driven Reactor Test Facility (KART) (Economist artikel, als u een abonnement) een manier vinden om met geweld het verval van radioactief afval (neptunium, plutonium, americium, curium, enz.) Hebben ontdekt in minder -lethal isotopen van elementen die alleen radioactief jaren, in plaats van tientallen duizenden of tienduizenden miljoen jaar.
In wezen, ze slaan radioactief afval met een neutronenbundel die massa toevoegt aan het radioactieve afval, waardoor het transmuteren in een ander element, dat op zijn beurt voor zorgt dat het sneller verval. Dit kreeg me aan het denken, als je een element kan slam met een neutronenbundel om een nieuw element te maken, nou, misschien kun je hetzelfde doen om een bestand met het oog op "vervelende Anti-Virus" te vermijden? Nou, het lijkt erop dat je kunt. Een goed voorbeeld hiervan is Morphine Heilige Vader. Morfine werkt door het opnemen van zijn eigen PE loader.
Dit maakt het mogelijk om het hele source te maken aan de .text deel van de nieuwe PE-bestand. Het bevat ook een polymorfe motor die altijd leidt absoluut verschillend decryptor de nieuwe PE bestand telkens Morfine wordt uitgevoerd. Morfine werd uitgebracht in maart 2004, en de grote Antivirus bedrijven heeft een methode generiek detecteren "Morphined" executables niet tot Q4 2005. De eigen versie van morfine creëert nog verisons van binaire bestanden die niet op te sporen elke Antivirus maker op de markt zijn.
Andere ideeën zijn eenvoudig de uitvoerbare herschikken zodat deze essentally "hetzelfde", maar wijzigen de onderliggende instructies van de binaire. Een voorbeeld zou zijn om de waarde te verplaatsen in de edx register in de eax register. Typisch, het programma zou een mov edx doen, eax instructie om dit te bereiken. Nou, een push eax gevolgd door een pop edx daadwerkelijk zal hetzelfde doen als een mov edx, eax --- neemt de waarde in edx en zet het in EAX. Je ziet waar ik hier ga, kunnen we volledig de statische handtekening van de binaire in dit proces te wijzigen. Maar, doet het werk ....
.... Nou, niet echt. Als ik een 3-byte instructie (mov edx, EAX) en vervang deze door twee 2-byte instructies (push EAX en pop edx), heb ik veranderd de offset binnen het programma door een byte. Dit betekent dat elke sprong, elke oproep in het programma zal worden uitgeschakeld door een byte, wat betekent dat het programma niet meer werken. Drie mogelijke oplossingen voor dit probleem: 1. vervangen Alleen gelijke groo