Questões de Segurança da Informação - Vírus e malwares

PGP e SSH.

DES e IDEA.

RSA e GPG.

DSS e ElGamal.

PGP e RSA.

Quando um arquivo malicioso é descompactado, em
geral cria-se um novo arquivo binário que não é
idêntico ao original, mas que executa as mesmas
tarefas maliciosas do original.

A cifra XOR é um tipo de cifra simples que significa
OU exclusivo. Ela é implementada a partir de uma
operação XOR lógica em um conjunto de bytes
dinâmicos em texto claro do arquivo PE, utilizando
um byte aleatório como chave e preservando o
caractere nulo.

A técnica de cálculo de entropia para identificação de
programas compactados tem base na característica
organizada que os dados digitais assumem quando
compactados. Essa técnica é utilizada pelas principais
ferramentas de detecção de programas compactados.

Muitas vezes, quando se tenta descompactar um
binário compactado ou criptografado manualmente,
ele modifica o entry point no cabeçalho NT e o deixa
sem possibilidade de execução.

Em alguns casos, pode ser mais simples a realização
do dump da memória do código malicioso
descompactado. Porém, não será mais possível
executar novamente esse código malicioso para
completar a análise dinâmica.

Funções de hash são funções de criptografia
unidirecional. Assim, permitem que a informação
protegida por ela seja revelada com base em funções
de retorno.

Um perito, ao realizar a cópia de um disco rígido,
pode utilizar funções de hash criptográfico para
garantir que a cópia realizada reflita fielmente as
informações presentes no disco rígido original.

Aplicações web utilizam funções de hash para
armazenar senhas nas respectivas bases de dados de
forma segura. Desse modo, caso alguma senha vaze,
o atacante não possui formas de visualizar essa
informação em texto claro.

O Salt é uma informação extra que, ao ser inserida na
chave de geração do hash, permite que o resultado da
função de resumo criptográfico possa retornar a
informação inicial, se necessário.

A colisão é a capacidade do algoritmo de hash de
gerar o mesmo resumo para o mesmo conjunto de
dados aplicado a ele como entrada, em qualquer
situação necessária.

Com base na utilização de técnicas de debugging do
código malicioso em memória, uma engenharia
reversa atenciosa pode identificar entry points
alternativos no arquivo executável e, com isso,
realizar a respectiva análise de forma clara e direta,
antes do programa malicioso iniciar a respectiva
execução.

Como técnica de ofuscação, o desenvolvedor do
programa malicioso pode inserir uma função de
callback na Thread Local Storage (TLS) e executar
uma decriptação ou, até mesmo, a identificação de
debuggers antes da parada no entry point original
identificado no cabeçalho PE do executável malicioso.

Mesmo utilizando otimizações de compilador, o
código malicioso não consegue inserir chamadas,
como JUMP ou CALL, que funcionem na área de
dados do executável PE.

Valores inválidos no cabeçalho PE dificultam a
execução dos executáveis maliciosos em ferramentas de
debugging. Porém, utilizando técnicas de análise
estática, será possível encontrar a informação necessária
para identificar o comportamento nocivo do executável
malicioso.

Arquivos DLL podem esconder código malicioso a
ser utilizado por um executável perigoso. Apesar
disso, DLLs só podem ser acessadas a partir do entry
point original do cabeçalho PE do arquivo
executável, o que facilita a análise do arquivo que
utiliza essa técnica de ofuscação.

3, 4, 5 e 7.

7, 8 e 9.

3, 6 e 8.

3, 4, 5, 6, 7 e 9.

4, 5, 7, 8 e 9.