ウイルス-バイナリの再パッケージ化によるバイパス
なぜ"ハッカー"(より正確には、"ウイルスメーカー")はマルウェアを再パッケージ化してウイルス対策ソフトウェアをバイパスしないのですか?ウイルスシグネチャ(ハッシュの種類)の問題を解決するので、そうではありませんか?アンチウイルスソフトウェアは、このような簡単な変更をどのように検出できますか?
ファイルハッシュは、マルウェアを検出するための最も有用な方法ではありません(数十年前とは異なります)。今日、マルウェアの認識(場合によっては分類)は、その操作のリアルタイムヒューリスティック分析に大きく基づいています。この分析では、多くのデータを扱います。これらのデータの大部分は、アプリケーションによって実行されるシステムコールとその順序で構成されます。システムコールは、 hooking と呼ばれる手法で追跡されます。
もちろん、他のことも考慮に入れられます。たとえば、そこにあるほとんどのマルウェア作成者は、パッカーとクリプターで劇的に失敗し、ファイルがパック/暗号化されていることを明らかにしています。また、アンチウイルスによって簡単に認識されるファイルを生成する有名なパッカー/クリプターを使用するものもあります。
メタモーフィックコード( http://en.wikipedia.org/wiki/Metamorphic_code )とポリモルフィックコード( http://en.wikipedia.org/wiki/)を検索できます。 Polymorphic_code )。これらは、実行されるたびにコードを変更することにより、マルウェアの検出を困難にする手法です。
ほとんどのAV製品はハッシュに依存していますが、マルウェアを検出するもう1つの方法は、ヒューリスティックスキャンを使用してソフトウェアの動作を確認することですが、これは完全ではなく、多くの誤検知を引き起こす可能性があります。