Je hebt een klacht over de onderstaande posting:
Door rookie Dus in feite wordt binaire code naar assembler of iets dergelijks vertaald? Nee, dat zou veel te veel tijd kosten. Ik vermoed dat de meeste virusscanners zullen beginnen met het bepalen van het bestandstype (executable, MSWord .doc, pdf, jpeg etc.) op basis van kenmerken in het bestand (niet afgaand op de extensie dus). Bij executables zou het kunnen dat bepaald wordt of er sprake is van compressie (zoals upx, aspack etc.) maar bij recente malware is vaak sprake van gemodificeerde compressiealgoritmes waarbij de virusscanner deze niet uit kan pakken, d.w.z. zonder een deel van de malware in een sandbox-omgeving uit te voeren. Maar dat kost tijd en bij nieuwe malware is de kans op succes niet groot. Bij executables zal het in de praktijk neerkomen op het zoeken naar reeksen bytes op bepaalde offsets in het bestand. Wat de malwaremakers doen is die bytes variëeren, bijv. door te spelen met de volgorde van instructies of door NOP instructies tussen te voegen (alhoewel ik vermoed dat de ...
Beschrijf je klacht (Optioneel):