www.lllcd.com www.4df.org www.6df.org www.8df.org www.9sh.org  www.pedjvak.net    www.pedjvak.com  www.shegerd.com  www.guarddongle.com  www.dedj.com www.5df.com

1. Outlasting (توانايي بقاي عمر بيشتر نسبت به شبيه ساز)

به علت اينکه شبيه سازي عمليات سنگيني به حساب مي آيد، شبيه ساز فقط چندصد دستور از هزاران دستور را براي تشخيص ويروس قبل از خروج از حافظه اجرا ميکند. در يک سيستم اينتل X86، اجراي حدود 1000 دستورالعمل براي تشخيص کدهاي مخرب در زمان کوتاه اجرا، کافي ميباشد. اگر آن کدها به عنوان کدهاي مخرب شناسايي نشوند شبيه ساز آنرا به عنوان ويروس نميشناسد. اين توانايي (Outlasting) ميتواند به وسيله تکرار در انجام عمليات بر اساس يک احتمال مشخص به انجام برسد. براي مثال اجراي کدهاي بي اثر براي زماني خاص قبل از اجراي کدهاي مخرب، يا مبهم نمودن نقطه ورود (Entry Point).

1.1 تکرار احتمالي

بعضي از ويروسها کدها را در يک درصد منطقي از زمان تکرار ميکنند. يعني اينکه يک شبيه ساز بايد کدها را چندين بار بمنظور تشخيص دقيق کدهاي مخرب اجرا کند. بعنوان مثال بعضي ويروسها کدهاي بي اثر را 90% و کدهاي مخرب را 10% اجرا ميکنند.

1.2 اجراي کدهاي بي اثر

ويروسهاي ديگر کدهاي بي اثر را در ابتداي اجراي برنامه در يک مدت خاص اجرا کرده و سپس کدهاي مخرب را اجرا ميکنند. هدف از اينکار اينست که شبيه ساز تعدادي از دستورالعملها را اجرا نموده و هيچ کد مخربي را تشخيص ندهد. سپس ويروس شروع به تکرار کرده و باعث آسيب رساندن به سيستم ميشود.

1.3 مبهم کردن نقطه ورود

ايجاد ابهام در نقطه ورود، روشيست که شامل اضافه کردن کدهاي مخرب در بحش مشخصي از يک فايل ميباشد. بجاي اينکه کدهاي مخرب ابتدا اجرا شوند، کد ميتواند شروع به جستجوي فراخواني تابع ExitProcess() کرده و آن دستورات را با يک Jump به کدهاي مخرب جايگزين کند. در اينروش در محل خروج، کدها اجرا ميشوند و نه در نقطه ورود. همچنين ميتواند رشته اي از کدها را براي جايگزين شدن مورد جستجو قرار دهد. بنابراين مبهم نمودن نقطه ورود بوسيله اجراي کدهاي کپي شده در يک محل جديد مناسب است.

 Outlasting ,  Outsmarting , Overextending