Unterschied zwischen polymorphem und metamorphem Virus
Share
Das Hauptunterschied zwischen polymorphem und metamorphem Virus ist das Der polymorphe Virus verschlüsselt sich mit einem variablen Verschlüsselungsschlüssel, sodass jede Kopie des Virus anders erscheint, während der metamorphe Virus seinen Code selbst umschreibt, um jede Kopie des Virus anders aussehen zu lassen, ohne einen variablen Verschlüsselungsschlüssel zu verwenden.
Malware ist bösartige Software, die absichtlich erstellt wurde, um Daten und Ressourcen in einem Computer zu beschädigen. Sie können die gesamte Funktionalität des Computers unterbrechen. Virus ist eine Art von Malware. Ein Virus repliziert sich selbst und modifiziert die anderen Programme durch Einfügen seines Codes. Polymorphe und metamorphe Viren sind zwei Arten von Viren. Beide sind in der Lage, sich mit der Ausbreitung zu ändern. Ein polymorpher Virus verwendet einen variablen Verschlüsselungsschlüssel, um jede Kopie des Virus zu ändern. Ein metamorphes Virus kann seinen eigenen Code unter Beibehaltung seiner Funktionalität umschreiben.
Wichtige Bereiche
1. Was ist polymorphes Virus?
- Definition, Funktionalität
2. Was ist ein metamorphes Virus?
- Definition, Funktionalität
3. Unterschied zwischen polymorphem und metamorphem Virus
- Vergleich der wichtigsten Unterschiede
Schlüsselbegriffe
Malware, metamorphes Virus, polymorphes Virus
Was ist polymorphes Virus?
Ein polymorphes Virus ist ein komplizierter Computervirus. Es wird mit einem variablen Verschlüsselungsschlüssel verschlüsselt. Daher unterscheidet sich jede Kopie des Virus von anderen. Mit anderen Worten handelt es sich um einen selbstverschlüsselten Virus, der die Erkennung durch eine Antivirensoftware oder einen Scanner verhindern soll.
Angenommen, ein Benutzer hat eine Website aufgerufen und eine ausführbare Datei heruntergeladen. Dann wechselt ein anderer Benutzer zu demselben Link und lädt dieselbe ausführbare Datei herunter. Beide Benutzer erhalten zwei verschiedene Dateien. Der Angriffscode befindet sich in der Datei. Obwohl der Angriffscode derselbe ist, wird er jedes Mal mit anderen Schlüsseln verschlüsselt. Man kann erkennen, dass beide gleich sind, wenn man den Angriffscode entschlüsselt. Daher ist es schwierig, ein polymorphes Virus mithilfe von Scannern und Antivirensoftware zu erkennen.
Polymorphe Viren können mit zwei Techniken nachgewiesen werden. Sie sind der Einstiegspunktalgorithmus und die generische Beschreibungstechnologie. Der Einstiegspunktalgorithmus verwendet ein spezielles Virenerkennungsprogramm, um den Maschinencode am Einstiegspunkt jeder Datei zu überprüfen. Die generische Beschreibungstechnologie führt die Datei auf einem geschützten virtuellen Computer aus.
Was ist ein metamorphes Virus?
Metamorphes Virus programmiert sich neu. Es übersetzt seinen eigenen Code und erstellt eine temporäre Darstellung. Anschließend wird diese temporäre Darstellung bearbeitet und der normale Code wird zurückgeschrieben. Mit anderen Worten, es übersetzt und schreibt seinen eigenen Code so, dass die Kopien des Virus jedes Mal anders aussehen.
Ein metamorphes Virus verwendet keine Schlüsselverschlüsselungsmethode wie bei polymorphem Virus. Wenn der Virus eine neue Kopie von sich selbst erstellt, konvertiert er seine vorhandenen Anweisungen in funktional äquivalente Anweisungen. Daher bleibt kein Abschnitt des Virus konstant und der Virus wird während der Ausführung nicht in seine ursprüngliche Form zurückkehren. Daher ist es für die Antivirensoftware schwierig, sie zu erkennen. Die geometrische Erkennung und die Verwendung von Emulatoren zur Rückverfolgung sind zwei Methoden zum Erkennen eines metamorphen Virus.
Unterschied zwischen polymorphem und metamorphem Virus
Definition
Ein polymorphes Virus ist eine schädliche, zerstörerische oder aufdringliche Malware, die sich ändern kann und die Erkennung mit Anti-Malware-Programmen erschwert. Ein metamorphes Virus ist ein Virus, das bei jeder Iteration neu geschrieben wird, so dass sich jede nachfolgende Version des Codes von der vorigen unterscheidet.
Funktionalität
Polymorpher Virus verschlüsselt sich mit einem variablen Verschlüsselungsschlüssel, so dass jede Kopie des Virus anders erscheint. Metamorpher Virus schreibt seinen Code selbst um, damit er jedes Mal anders aussieht. Sie ändert sich also von Instanz zu Instanz. Dies ist der Hauptunterschied zwischen polymorphen und metamorphen Viren.
Den Virus schreiben
Ein metamorphes Virus wird als schwieriger beschrieben als ein polymorphes Virus. Der Programmierer muss mehrere Transformationstechniken verwenden.
Erkennungsverfahren
Ein weiterer wichtiger Unterschied zwischen polymorphen und metamorphen Viren sind die Erkennungstechniken. Polymorphe Viren werden mithilfe des Einstiegspunktalgorithmus und der generischen Beschreibungstechnologie erkannt. Metamorphe Viren werden mithilfe der geometrischen Erkennung und mithilfe von Emulatoren zur Rückverfolgung erkannt.
Fazit
Der Unterschied zwischen polymorphem und metamorphem Virus besteht darin, dass sich polymorpher Virus mit einem variablen Verschlüsselungsschlüssel selbst verschlüsselt, so dass jede Kopie des Virus anders erscheint, während der metamorphe Virus seinen Code selbst umschreibt, sodass jede Kopie des Virus ohne Verwendung eines variablen Verschlüsselungsschlüssels unterschiedlich erscheint . Beide sind mit regulären Antivirenprogrammen nur schwer zu identifizieren.
Referenz:
1. Polymorphe Malware - CompTIA Security SY0-401: 3.1, Professor Messer, 6. September 2014, verfügbar hier.
2. „Mechanismus des polymorphen und metamorphen Virus“. LinkedIn SlideShare, 10. Dezember 2011, hier verfügbar.
Bildhöflichkeit:
1. "Virus" von Yuri Samoilov (CC BY 2.0) über Flickr
