Kod polimorficzny

Kod polimorficznykod, który zmienia się w czasie, nie zmieniając oryginalnego algorytmu w nim zawartego.

Przeważnie kod polimorficzny jest używany przez wszelkiego rodzaju wirusy i robaki komputerowe. Wynika to z samego działania programów antywirusowych, które szukają zainfekowanych plików poprzez znajdowanie w nich znanych łańcuchów. Wprowadzając modyfikacje kodu w każdej nowej kopii wirusa, znacznie komplikuje się zadanie programów antywirusowych.

Do uzyskania kodu polimorficznego przeważnie używa się szyfrowania kodu. Rzeczywisty kod programu jest zaszyfrowany i za każdym uruchomieniem programu deszyfrowany. Kod deszyfrujący nie może być zaszyfrowany, ponieważ byłby on bezużyteczny („nieuruchamialny”). Właśnie deszyfrujący fragment kodu jest używany przez programy antywirusowe do stwierdzenia, czy program jest „podejrzany”. Aby zmylić programy antywirusowe programiści próbują „zaciemnić” kod deszyfrujący.

Do pomocy w generowaniu zmian w kodzie deszyfrującym używa się następujących prostych akcji:

  • zamienia się instrukcje na ich odpowiedniki dające w rezultacie ten sam efekt – na przykład zamiast dzielić przez 2 ( x=x/2 ) można użyć przesunięcia bitowego w prawo o 1 bit ( x=x>>1 )
  • transpozycja, zamiana miejscami instrukcji, które nie mają wpływu na działanie sekwencji instrukcji
  • wprowadzanie instrukcji lub sekwencji instrukcji nic nie wnoszących do działania algorytmu (NOP), np. działających na lokalnych zmiennych

Dodatkowo modyfikacji ulec może również zaszyfrowany kod programu. Podczas replikacji program może użyć nowego klucza do zaszyfrowania własnego kodu.

Historia

Pierwszy znany wirus polimorficzny został napisany przez Marka Washburna w 1990 roku i nazywał się 1260. Bardziej znany przykład wirusa polimorficznego został stworzony w 1992 przez bułgarskiego programistę znanego pod pseudonimem Dark Avenger.

Przykład

W większości przypadków do szyfrowania kodu używa się prostej operacji XOR na wszystkich bajtach kodowanego fragmentu kodu.

    mov cx, code_length         ; do licznika cx wstaw długość zaszyfrowanego kodu
    mov si, offset begin_code   ; podstaw adres początku kodu zaszyfrowanego pod si
    mov al, xor_key             ; xor_key – klucz używany do rozszyfrowania kodu
 _loop:
    xor [si+cx], al             ; rozszyfruj bajt
    loop _loop                  ; pętla po następny bajt
    jmp si                      ; skok do odszyfrowanej części programu
    ;...
 begin_code:
    ; tu jest adres begin_code
    ; i zaczyna się zaszyfrowany kod długości code_length

Zobacz też

  • wirusy polimorficzne