tengo un virus ofuscado (que es el resultado de un xor con una secuencia de x bytes construida con una llave de 8 byte repetida varias veces)
la longitud del cuerpo del virus es un multiplo de 8.
conozco el cuerpo del virus no ofuscado.
Se que en un archivo infectado se encuentra la llave, el codigo del virus ofuscado y el loader de activacion del mismo, que si se invoca durante la ejecucion del archivo infectado, lee la llave, construye la secuencia de x bytes, la usa para extraer el virus e invocarlo.
como puedo averiguar si el virus aparece en un conjunto de archivos que se sospechan de estar infectados?
la longitud del cuerpo del virus es un multiplo de 8.
conozco el cuerpo del virus no ofuscado.
Se que en un archivo infectado se encuentra la llave, el codigo del virus ofuscado y el loader de activacion del mismo, que si se invoca durante la ejecucion del archivo infectado, lee la llave, construye la secuencia de x bytes, la usa para extraer el virus e invocarlo.
como puedo averiguar si el virus aparece en un conjunto de archivos que se sospechan de estar infectados?