Абсолютно случайно, среди старого барахла нашел программу статического анализа исполнимых файлов, на которую можно равняться при написании подобного ПО.
Она не только не брошена, но, похоже, развивается.
http://www.winitor.com/PEStudio is a unique tool that performs the
static investigation of 32-bit and 64-bit executable.
Malicious executable often attempts to hide its malicious behavior and to evade detection. In doing so, it generally presents anomalies and suspicious patterns. The goal of PEStudio is to detect these anomalies, provide Indicators and score the Trust for the executable being analyzed. Since the executable file being analyzed is never started, you can inspect any unknown or malicious executable with no risk.
Интереса ради скормил утилите винлокер, пойманный на той неделе. На момент поимки, на virustotal его видел bitdefender и, внезапно, ad-aware (используют чужой движок?). Эвристики drweb, avira, kav молчали (сейчас для сокрытия вредоносных намеряний авторы "изделий" максимально стараются "вычистить" файл, не только убрав явные признаки плохого, но и максимально сделать "изделие" похожим на легитимное ПО).
( скрины )В одиночку конечно, на одном статическом анализе не уедешь. Дает много ложных предупреждений, -скормил утилите скринсейвер hellfire.scr, получил практически такую же картинку.
Кстати, в папке с программой идут XML-файлы, где хранятся редактируемые настройки программы.
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
