|
Svaki EXE fajl se sastoji iz vise delova:
import table, export table, relocation table, resursi.... i jezgro (ono sto se izvrsava)
Jezgro moze da sadrzi i redundantne podatke (namerno ubacene komande, tekstovi itd, koji nemaju uticaja na rad jezgra, vec su tu samo da bi mogle da budu modifikovane).
AV kompanije obicno traze u virusu samo onaj deo jezgra koji je nepromenjiv, pa od toga naprave "virus signature" i po tome tvoj AV prepozna neki virus.
Ukoliko se promeni bas taj deo, onda je to vec novi virus, ili nova verzija.
Nabadanje hex editorom nije od pomoci. Ukoliko neko bas i 'ubode' u 'onaj' deo jezgra, 99% sansi su da ce upropastiti sam virus.
Menjanje nekog drugog dela virusa ne utice na prepoznavanje.
|
