Detecting and modeling polymorphic shellcode, Fachbücher von Omar Nbou

Das Buch "Detecting and Modeling Polymorphic Shellcode" von Omar Nbou behandelt die Herausforderungen bei der Modellierung und Erkennung von polymorphen Shellcode-Engines. Polymorphe Engines sind Programme, die in der Lage sind, Malware in verschiedene Instanzen zu transformieren, die zwar unterschiedlichen Code aufweisen, jedoch die gleiche Funktionalität wie das Original besitzen. Diese Transformation erfolgt typischerweise durch Verschlüsselungstechniken, gefolgt von einem Entschlüsselungsmodul, das die Ausführung der neu verschlüsselten Instanz ermöglicht. Ein zentrales Thema des Buches ist die Einführung von sogenannten "Shape Signatures", die darauf abzielen, sowohl die konstanten als auch die mutierten Teile der Entschlüsselungsroutinen zu identifizieren. Diese Methodik bietet eine effizientere Lösung zur Erkennung im Vergleich zu herkömmlichen Signaturen, die in den meisten Intrusion Detection Systemen verwendet werden. Darüber hinaus wird die spezifische Byte-Zusammensetzung polymorpher Engines modelliert, um deren Erkennung zu verbessern.