home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / virus / 4961 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  4.4 KB
  1. Path: sparky!uunet!cs.utexas.edu!zaphod.mps.ohio-state.edu!pacific.mps.ohio-state.edu!cis.ohio-state.edu!news.sei.cmu.edu!cert!netnews.upenn.edu!netnews.cc.lehigh.edu!news
  2. From: bontchev@fbihh.informatik.uni-hamburg.de (Vesselin Bontchev)
  3. Newsgroups: comp.virus
  4. Subject: Re: How to measure polymorphism
  5. Message-ID: <0006.9301221631.AA12947@barnabas.cert.org>
  6. Date: 14 Jan 93 10:54:40 GMT
  7. Sender: virus-l@lehigh.edu
  8. Lines: 77
  9. Approved: news@netnews.cc.lehigh.edu
  10.  
  11. maloned@ul.ie (Declan Malone) writes:
  12.  
  13. > Let me explain.  What polymorphism is, essentially, is a term
  14. > describing randomness, true?  Now how do you measure randomness in an
  15. > objective way?  You can't really, and the irony of it is that the more
  16. > you try, and the more objective/detailed your description becomes, the
  17. > more you are taking away from the central essence of the word `random'
  18. > or sending your definition in the wrong direction. It seems to be the
  19.  
  20. Well, yes, but if you show two polymorphic mechanisms to a human virus
  21. expert, he is usually able to tell which one is more polymorphic... I
  22. was thinking about some objective way to provide such evaluations...
  23.  
  24. > You say that there is a real need for an objective way of measuring
  25. > the level of polymorphism, but why is that so? If a user has a new
  26. > virus running loose on his system, it is of little interest to him
  27. > whether it is more or less random than another virus. Even to scanner
  28. > manufacturers, I think, the point is largely irrellevant - so long as
  29. > they can produce a scanner to detect the virus, its level of
  30. > polymorphism is purely academic.
  31.  
  32. Of course, it is academic issue... Actually, such an evaluation
  33. criteria would be more useful to the anti-virus researchers than to
  34. the end user... But it wouldn't be completely useless even to the end
  35. user. The ability to detect extremely polymorphic viruses reflects the
  36. quality of the R&D department of the company that produces a scanner.
  37. The users might want to know "how good" that company is in detecting
  38. "difficult" viruses. For that purpose, there needs to be a way to
  39. measure the "difficultness" (i.e., the polymorphism) of the virus
  40. objectively. Why do you think users keep asking whether some scanner
  41. detects MtE, instead of asking whether it detects Cascade...
  42. Regardless that Cascade is rather common and none of the MtE-based
  43. viruses has been found in the wild yet...
  44.  
  45. > Even so, taking it that there can be no a-priori measure of
  46. > polymorphism, for specific purposes, measures can be defined that,
  47. > while not measuring randomness, give something that is useful in the
  48. > context.
  49.  
  50. Yes, it would be useful if we can achieve at least that...
  51.  
  52. > 1 Is every byte of every sample constant? (a simple CRC will identify it)
  53. > 2 Is there a fixed (no wildcards) signature that will identify it?
  54. > 3 Is there a simple wildcard signature (constant length) to identify it?
  55. > 4 Is there a complex wildcard signature to identify it? ( signature matches
  56. > variable length strings)
  57. > 5 etc
  58.  
  59. Right, this is something like the "classes" scheme described in my
  60. original message... However, the real problem is how to differentiate
  61. the polymorphism of the viruses that are in category "5 etc"... :-)
  62.  
  63. > in terms of scanning. Still, it's really only of use at low levels of
  64. > polymorphism - after that things would start to get really hairy . . .
  65.  
  66. Exactly...
  67.  
  68. > fascinating stuff. One metric that I think might be interesting would
  69. > extract the total number of useful signatures from a program (or as a
  70. > ratio of the total possible signatures for that file) - not only would
  71. > you get some idea of polymorphism, but you'd also get some idea of how
  72. > well a signature picked at random for the virus would withstand random
  73. > modifications to the virus. This could give stats for how likely a
  74. > signature would be of detecting various new variants with increasing
  75. > modifications. Because it's signature-based, the effect of moving
  76. > sections of code around from original to variant is much less over
  77.  
  78. Hmm, that sounds interesting... Could you write some program that
  79. implements this idea? Would be nice to test it in practice...
  80.  
  81. Regards,
  82. Vesselin
  83. - -- 
  84. Vesselin Vladimirov Bontchev          Virus Test Center, University of Hamburg
  85. Tel.:+49-40-54715-224, Fax: +49-40-54715-226      Fachbereich Informatik - AGN
  86. < PGP 2.1 public key available on request. > Vogt-Koelln-Strasse 30, rm. 107 C
  87. e-mail: bontchev@fbihh.informatik.uni-hamburg.de    D-2000 Hamburg 54, Germany
  88.