Я уже сказал ключевые слова для поиска. Если прям уверен, что скрипт всегда будет не зашифрован (хотя делается шифровка элементарно, и работать он будет прямо в таком виде), то надо сделать приведение скрипта к общему виду (как - как считаешь нужным, например можно все имена, кроме API, снести нафиг, заменив одинаковыми символами, оставить только значения, удалить все пробелы и переносы, лишние операции и т.д.), после чего нанять десяток аналитиков, которые будут находить и добавлять в базу новые скрипты (которые будут появляться очень часто). Ну и разумеется аналитики не будут детектить файл целиком, а только какие-то ключевые части.
Если же хочешь, чтоб была хоть какая-то примитивная защита от новых угроз - эмулятор. На интерпретаторе php. И... пяток аналитиков для анализа новых скриптов и добавления детекта по ним.
Не, можно конечно и эвристикой заморочиться, но не думаю, что с такими знаниями она хоть как-то заработает. Да эмулятор, собственно, тоже...
[advertisment]Поэтому пользуйтесь антивирусными продуктами![/advertisment]
|