當新的軟件威脅被發(fā)現(xiàn)時，逆向工程師會深入到代碼以找出檢測攻擊的方法，識別該代碼及其作者，并發(fā)現(xiàn)惡意軟件背后的目的。

逆向檢測惡意程序的數(shù)字偵探與創(chuàng)建惡意軟件的開發(fā)人員斗智斗勇，在這場貓捉老鼠的游戲中，逆向工程師可以很容易地找到惡意軟件的副本來破解和分析，而攻擊者則制造各種障礙來減慢分析師的工作。攻擊者制造的主要障礙是加密和混淆。

網(wǎng)絡安全公司Arbor Networks的研究分析師Jeff Edwards表示，在不太遙遠的過去，惡意軟件中的加密反映了程序作者的勃勃野心。而現(xiàn)在，幾乎所有惡意軟件都使用了某種加密，大約有三分之二的僵尸網(wǎng)絡使用加密通信來混淆他們的活動。

“他們在提高其加密技術方面有一個漸進發(fā)展的趨勢，”Edward表示，“這一切都取決于僵尸網(wǎng)絡操作者和編寫者是否感到需要往前發(fā)展的壓力。”

在Rustock和Kelihos僵尸網(wǎng)絡被撤除后，控制這些僵尸網(wǎng)絡的地下操作者可能感覺到前所未有的壓力，他們需要在更大程度上隱藏其活動。此外，隨著惡意軟件開發(fā)人員變得越來越有經(jīng)驗，他們經(jīng)常采用更復雜和更好的加密技術。

例如，Black Energy僵尸軟件最初使用一種基本的加密技術來使其可執(zhí)行文件不被殺毒軟件察覺，并使用Base64編碼來擾亂其通信。這兩個都很容易被逆向工程。然而，最新版本的Black Energy使用了更強大的RC4流加密的一個變種(事實證明存在一些缺陷)來編碼其通信。

Arbor Networks對用于拒絕服務攻擊的四個主要僵尸程序的加密進行了分析，分析發(fā)現(xiàn)了多種加密方法，從自定義替換算法到RC4流加密(安全套接字層使用的加密方法)等。在一個分析中，Arbor研究了Dark Comet遠程訪問木馬，該木馬使用RC4來加密其通信，并使用其他有趣的技術來混淆加密密鑰。

“惡意軟件從最開始的沒有加密發(fā)展到現(xiàn)在強大的加密技術，”Edward表示，“RC4是目前最流行的一種加密方法，或者RC4的變種，它是一個標準，很好理解，而且很安全。”

卡巴斯基實驗室高級安全研究員Kurt Baumgartner表示，僵尸網(wǎng)絡的加密發(fā)展很緩慢，五年前，Sinowal或者Torpig木馬使用XTEA區(qū)塊密碼的修改版本來加密其配置數(shù)據(jù)。自2008年年底以來，Waledac和Kelihos或者Hlux僵尸網(wǎng)絡使用AES混合其他編碼和壓縮來混淆他們的代碼和通信。

“在過去幾年中，我們看到惡意軟件陸陸續(xù)續(xù)開始使用加密技術，”Baumgartner表示，“這些家伙不會放棄的。”

奇怪的是，研究人員發(fā)現(xiàn)有時候惡意軟件只是使用簡單的混淆。雖然來自俄羅斯和歐洲的惡意軟件逐漸開始采用更好的加密方法，而來自某些國家的網(wǎng)絡犯罪分子仍然使用簡單的方法，有時候甚至不采用混淆。很多被認為是高級持續(xù)性威脅的攻擊避免使用加密方法，而是用其他類型的混淆。

“我們看到在他們的惡意軟件工具包中有各種奇怪的經(jīng)過修改的編碼方法和壓縮方法，并不是復雜的加密方法，”Baumgartner表示，“似乎他們是在努力保持在雷達下飛行。”

加密數(shù)據(jù)通常容易被檢測，但不能被解密。自定義加密或者混淆隱藏數(shù)據(jù)可能不太安全，但是能夠更有效地避開安全工具，例如防病毒檢測。