home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / virus / 4245 < prev    next >
Encoding:
Internet Message Format  |  1992-11-12  |  1.0 KB
  1. Path: sparky!uunet!ukma!usenet.ins.cwru.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: tck@fold.ucsd.edu (Kevin Marcus)
  3. Newsgroups: comp.virus
  4. Subject: Re: Comment on the MtE wars (PC)
  5. Message-ID: <0002.9211121928.AA09892@barnabas.cert.org>
  6. Date: 9 Nov 92 23:25:59 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 14
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. Hmm.  MtE detection is difficult, but there are a few things that one
  12. can look out for in order to help you get a staart if you are writing
  13. an MtE detector, without having "big labs" and stuff.
  14.  
  15. One, as someone kindly pointed out at one time, I forgot where I saw
  16. it, but the MtE can only generate certain code.  It can't generate a
  17. variety of instructions, and any program which begins with these
  18. instructions cannot possibly be infected.
  19.  
  20. Two, the MtE always has certain markers.  For example, the end of the
  21. decrypting algorythm always ends with JNZ.
  22.  
  23. If you have a disasssembler, or even debug, you can spend a few hours
  24. and figure out how to take care of a variety of infections.
  25.