本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 4031|回复: 15

自己新写的一个普通马儿,全新编译出来就被杀了。引发出了一些疑问 [复制链接]

Rank: 1

发表于 2009-11-15 19:53:54 |显示全部楼层
静态,未运行就至少已经被nod32、小红伞、诺顿 启发秒杀,

我开始了解了下知道了一点,启发检测主要通过输入表的API,是否有GUI用户交互啥的,还有其他的PE特征,比如资源内嵌了其他PE等等(待大伙补充吧),

但是现在我觉得上面这些启发检测的都是以前普遍的马儿特征,目前启发系统应该没有非常聪明吧,
上面提到的几点就可以解决,改了改然后就过启发了!

所以我现在反而是感兴趣传统的查杀,
疑问1:世界上这么多杀毒软件,我不清楚他们拿到样本后是怎么筛选特征的?不会简单的就拿md5等hash来判断吧,这样的话变种就太容易做了?

疑问2:假如我很了解杀毒软件是怎么定位出特征的,那么我是不是可以做出一个PE,让他们看起来很难定位一个特征,不小心就很容易引起大范围误杀?

Rank: 4

发表于 2009-11-15 19:57:41 |显示全部楼层
第二个问题,变形就可以了,但是不会出现一杀一大片的情况

Rank: 5Rank: 5

发表于 2009-11-15 20:20:54 |显示全部楼层
nod32使用 导入表标签启发。
小红伞对资源文件检查较多。
Nortan使用解析启发与卡巴类似的启发。

传统杀毒拿来样本先走自动特征提取和家族分类,再走自动误杀判定,然后和其他样本的处理结果生成一个报表,最后走自动分析报表,如果提取的特征误杀高,则走特殊流程(其他自动特征提取方案,误杀判定后再走报表处理流程,如果走了很多特征流程都未遂,则发送样本给分析部,走人工流程。)

Rank: 1

发表于 2009-11-15 21:00:47 |显示全部楼层
引用第2楼killvxk于2009-11-15 17:20发表的  :
nod32使用 导入表标签启发。
小红伞对资源文件检查较多。
Nortan使用解析启发与卡巴类似的启发。

传统杀毒拿来样本先走自动特征提取和家族分类,再走自动误杀判定,然后和其他样本的处理结果生成一个报表,最后走自动分析报表,如果提取的特征误杀高,则走特殊流程(其他自动特征提取方案,误杀判定后再走报表处理流程,如果走了很多特征流程都未遂,则发送样本给分析部,走人工流程。)

哇,小V你专业,敬佩

Rank: 1

发表于 2009-11-15 21:08:08 |显示全部楼层
引用第1楼achillis于2009-11-15 16:57发表的  :
第二个问题,变形就可以了,但是不会出现一杀一大片的情况

请教你说的变形,怎么变形,大范围的修改源代码吗?

Rank: 4

发表于 2009-11-15 21:56:22 |显示全部楼层
变形这个单靠编译器不能实现吧~

Rank: 1

发表于 2009-11-15 22:25:11 |显示全部楼层
一个样本,随便你怎么搞,各个公司总是有办法杀到你的。只不过可能不太通用而已。
而真正的问题在于如果你的样本能产生大量的不同的样本,而你的样本本身就只一个。
譬如 多态变型的感染型。
这才是av惧怕的。

Rank: 2

发表于 2009-11-16 10:58:08 |显示全部楼层
刚写出来,就能被诺顿杀的,以前我还真比较少见,原来以为诺顿的启发式查杀都是虚的呢

Rank: 1

发表于 2009-11-16 11:41:40 |显示全部楼层
这个方面小红伞不错

Rank: 3Rank: 3

发表于 2009-11-16 12:03:25 |显示全部楼层
V校已经总结的不少了。
变形可以从代码上变形,也可以编译后变形VM...
bypass av已经很久不做了,偶又菜~就不说了  

Rank: 1

发表于 2009-11-16 23:54:57 |显示全部楼层
大家说下怎么办啊

Rank: 2

发表于 2009-11-22 01:09:42 |显示全部楼层
我觉得小红伞不错 不过误报也多 不知道属于什么监测类型

Rank: 1

发表于 2009-11-22 20:29:44 |显示全部楼层
引用第10楼dayang1717于2009-11-16 09:46发表的  :
个人感觉还是目前新出的360SD比较强大,V大也出来说说!

可惜用的是别人的技术

Rank: 1

发表于 2009-11-25 13:17:01 |显示全部楼层
引用第13楼yuanyuan于2009-11-22 17:29发表的  :


可惜用的是别人的技术


引用很正常啊,MS估计在这方面估计是世界No.1.
讲实话,我也想拥有创造力

Rank: 1

发表于 2009-11-25 13:27:16 |显示全部楼层
抛砖引玉:
   改变程序汇编码结构,是否可行?

Rank: 1

发表于 2009-11-25 13:30:39 |显示全部楼层
无所谓 该调用的api自己实现了就ok
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-6-16 11:57 , Processed in 0.025202 second(s), 8 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部