19.08.2006, 00:09
|
|
HARDstasy
Регистрация: 26.11.2004
Сообщений: 1,367
Провел на форуме:
4226592
Репутация:
2175
|
|
Сообщение от hidden
Перл, хотя похожее можно легко перенести и на с++
Код:
sub findvir(){
local($fn)=@_;
open(IN,$fn)||next;binmode(IN);read(IN,$buf,-s$fn);close(IN);
return ($buf=~/\xE8.\0{3}.{16,32}\x5D(\x80[\x75\x4D\x45\x65\x4D\x6D]..|\xC6\x45..|\xF6\x55.){8,}/);
}
while(<*.exe>){ print "Found in $_\n\n" if(&findvir($_)); }
while(<C:\\windows\\system32\\*.*>){ print "Found in $_\n" if(&findvir($_)); }
Ну например: Если в шифровщик будет включено половина ассемблерских комманд, то этот код, будет не отличить от осталькых программ.
Но это конечно слишком, поетому стоит подумать, что именно нтатадо, и какким способом это реализовать, придумать своё!
Кстати, ссылочку не подкинешь? а за4ем это все, если трейсер в складе аверя будет палить ЛЮБОЙ код динами4ески в время выполнения?
|
|
|