20楼#
发布于:2002-07-09 16:42
[quote]What is the company...?? 呵呵,可惜他们当初没听我的。 [/quote] //===============[0 0]=================================== 0 哦,在没有分析完整时,你不要过早的下结论(你的话可是要负责的) 注:给花猫的警告。。。。。。。。。。 //=============[KILL]==================================== |
|
21楼#
发布于:2002-07-09 16:49
//===============[0 0]=================================== 负责任?负什么责任?难道我善意的提醒还要负什么法律责任?还警告? 我知错了,我以后再也不给你们公司什么建议了。 另外,那个病毒出来快三个月了,四月出的,五月有发作吗?没有吧。 对了,Klez.H和Klez.E很像,最大的不同就是释放的小病毒不同,你们别搞错版本! 另外,请你不要在这里警告什么的,如果你想交流技术,我们还是朋友,如果你以为你在那个公司有什么了不起,那就请便。我还真没崇拜过什么杀毒高手。 [编辑 - 7/9/02 by Koms Bomb] |
|
|
22楼#
发布于:2002-07-09 17:34
[quote]//===============[0 0]=================================== 负责任?负什么责任?难道我善意的提醒还要负什么法律责任?还警告? 我知错了,我以后再也不给你们公司什么建议了。 另外,那个病毒出来快三个月了,四月出的,五月有发作吗?没有吧。 对了,Klez.H和Klez.E很像,最大的不同就是释放的小病毒不同,你们别搞错版本! 另外,请你不要在这里警告什么的,如果你想交流技术,我们还是朋友,如果你以为你在那个公司有什么了不起,那就请便。我还真没崇拜过什么杀毒高手。 [编辑 - 7/9/02 by Koms Bomb] [/quote] 我从来没有这样的想法,希望你能找出我们的不足(杀毒领域是一个严谨的行业,来不得半点虚假的),如果你想交流我们还可以是朋友 |
|
23楼#
发布于:2002-07-09 17:51
我从来没有这样的想法,希望你能找出我们的不足(杀毒领域是一个严谨的行业,来不得半点虚假的),如果你想交流我们还可以是朋友 “杀毒领域是一个严谨的行业,来不得半点虚假的”,说得好,我等着你们再分析Klez.H,最后希望能给我个结论。 但我就纳闷,Klez.H出来快三个月了,做为这样一个超级流行的病毒,你们难道没有透彻分析吗?“杀毒领域是一个严谨的行业”,那你们发那些消息(我不想随便公开你是哪个公司,所以我们有些暗语,相信你能理解)前有无做一次发作试验呢? 我不是厚非你们公司,也不是说你们的技术怎样,我只是想知道关于Klez.H的最后结论。你们公司一向给我印象不错,不像其它同类公司那样总有些夸大之词,所以我才会提醒你们的。 当然,我可没做过Klez.H的试验(没那个条件),但我之所以那么肯定我的看法,是因为 1,Klez.H病毒体内带的说明信息说无发作。 2,国外一些著名的杀毒公司都得出它无发作的结论,比如我在mail里给你的网址。 3,对于这样一个流行病毒,如果真会大发作,国外的安全公司不会无动于衷的,但据我观察,国外的杀毒公司统统静悄悄。 我当然愿意和高手交流技术了,以后多多用mail联系吧。 另外,另外我没有什么获得病毒样本的渠道,不知你能否在有趣的病毒出现的时候给我些样本,呵呵。 [编辑 - 7/9/02 by Koms Bomb] |
|
|
24楼#
发布于:2002-07-09 17:58
再问你个问题,你也提到逆向工程,那东西在杀毒界那么时髦吗?难道你们真的把Nimda,Klez之类的逆向出来吗?那有很大用处吗?
我觉得研究病毒在汇编一级就可以了,没必要还原到更高级语言吧。 |
|
|
25楼#
发布于:2002-07-09 18:43
再问你个问题,你也提到逆向工程,那东西在杀毒界那么时髦吗?难道你们真的把Nimda,Klez之类的逆向出来吗?那有很大用处吗? //==================[0 0]================================== 0 花猫这是我的一些看法: 1)在杀毒界,要在短期内把病毒给解开,这是关键 所以我们一般只是找到跟感染部分有联系的(进行剖析,这样就可以 了) 2)但是随着病毒技术的不断发展(包括编码技术,变形技术),一般病毒使用加密变形技术(那我们只有找到它的变形引擎进行剖析,在剖析的过程中为了方便了解,就将(纯汇编的代码)转化成高级语言的虚拟码,这样就能很快的找到规律解掉病毒) 3)随着病毒暗藏技术的不段提高,高级的病毒已经将自己成为系统的一部分(可想:高级病毒的作者对内核研究是很深的,而且对WIN32 API是很熟的,而且知道函数中的返回值(看来高级病毒的作者不是把WIN32 API看为黑匣子的)(这样就要求杀毒的对内核要有很深的了解(特别是内存的管理和相关的数据结构),这样才能将再怎么狡猾的病毒给找到。 4)杀毒领域有两种关点: 1》为了完成任务而去杀毒 2》为了写病毒,为了拿病毒的极端的方法去实现一些特殊的功能 来达到所谓的”成就感“ 3》用逆向过程来克隆病毒。(我解病毒是为了2》,3》个观点,和发现一些系统设计的缺陷。) //================[KILL]=================================== |
|
26楼#
发布于:2002-07-09 18:54
//==================[0 0]==================================
0 花猫这是我的一些看法: 1)在杀毒界,要在短期内把病毒给解开,这是关键 所以我们一般只是找到跟感染部分有联系的(进行剖析,这样就可以 了) 没错,我去你们那里面试的时候那个总工(应该是总工吧)也这么说,现在杀毒技术各公司都差不多,没有特别先进的,各公司主要比对病毒的反应速度。所以一般你们不真的很深的研究一个病毒,而是想办法尽快查杀。 2)但是随着病毒技术的不断发展(包括编码技术,变形技术),一般病毒使用加密变形技术(那我们只有找到它的变形引擎进行剖析,在剖析的过程中为了方便了解,就将(纯汇编的代码)转化成高级语言的虚拟码,这样就能很快的找到规律解掉病毒) 这大概是你们解变形病毒的方式。但我有些想法。你们杀毒软件拥有强大的虚拟机,所以我觉得你们在研究病毒的时候根本就可以不管什么加密部分和变形部分,只要跟踪执行到一定数量指令以后,病毒就会把自己解开,然后会有固定的特征码,在复杂的polymorphism都是这样的。 3)随着病毒暗藏技术的不段提高,高级的病毒已经将自己成为系统的一部分(可想:高级病毒的作者对内核研究是很深的,而且对WIN32 API是很熟的,而且知道函数中的返回值(看来高级病毒的作者不是把WIN32 API看为黑匣子的)(这样就要求杀毒的对内核要有很深的了解(特别是内存的管理和相关的数据结构),这样才能将再怎么狡猾的病毒给找到。 举些例子怎样?据我所知Elkern.C是内存感染的,不会drop一个文件。我觉得这样很好,很难杀(Symantec的newsletter都这样说),而且不容易发现。大家看到flcss.exe就会想到Funlove了,呵呵。 4)杀毒领域有两种关点: 1》为了完成任务而去杀毒 2》为了写病毒,为了拿病毒的极端的方法去实现一些特殊的功能 来达到所谓的”成就感“ 3》用逆向过程来克隆病毒。(我解病毒是为了2》,3》个观点,和发现一些系统设计的缺陷。) 什么叫为了写病毒?你不是说杀毒领域吗?你的意思是说正当的软件里用病毒的技术?那我可以理解,甚至一些国内的杀毒软件确实这么干。 //================[KILL]=================================== |
|
|
27楼#
发布于:2002-07-09 19:01
[2》为了写病毒,为了拿病毒的极端的方法去实现一些特殊的功能
拿病毒的极端的方法去实现一些特殊的功能???? 是学习编程技巧???? |
|
|
28楼#
发布于:2002-07-09 19:02
关于变形病毒,我想起来,有些病毒反跟踪技巧比较强,比较难下断点,这大概是你们要那样分析的原因。
|
|
|
29楼#
发布于:2002-07-09 19:06
//==================[0 0]================================== 这只是我的看法了。。。。。。。。 没什么的?(可以做为一个课题进行嘛。。。。。) 看来你还没有见过高级病毒是吗? |
|
30楼#
发布于:2002-07-09 19:08
这只是我的看法了。。。。。。。。 我不知道你说的高级病毒是什么样 我见过的病毒就那么几个,当然不能和你们比了,呵呵。 |
|
|
31楼#
发布于:2002-07-09 19:13
[quote]这只是我的看法了。。。。。。。。 我不知道你说的高级病毒是什么样 我见过的病毒就那么几个,当然不能和你们比了,呵呵。 [/quote] 见过MAGISTR.A, MAGISTR.B这就是精典的病毒 |
|
32楼#
发布于:2002-07-09 19:15
[quote][quote]这只是我的看法了。。。。。。。。 我不知道你说的高级病毒是什么样 我见过的病毒就那么几个,当然不能和你们比了,呵呵。 [/quote] 见过MAGISTR.A, MAGISTR.B这就是精典的病毒 [/quote] 那些啊,我当然知道了,还有样本,不过加密复杂,没仔细研究。 好像它是用两段代码互相加密的。几十K的东西,都是汇编写的,郁闷。 但它们为何是高级病毒?高级病毒需要什么特征?我看到它的开始部分用到几个缺省的寄存器的数值(就是Windows传进来的),你指的不会是这个吧。 |
|
|
33楼#
发布于:2002-07-09 19:19
andrews13你好。
我觉得很多变形病毒,与加密解密的很多难破的壳原理很相似。你说的逆向工程,轻推荐几个国外的好站吧,谢谢 |
|
|
34楼#
发布于:2002-07-09 19:26
[quote][quote][quote]这只是我的看法了。。。。。。。。 我不知道你说的高级病毒是什么样 我见过的病毒就那么几个,当然不能和你们比了,呵呵。 [/quote] 见过MAGISTR.A, MAGISTR.B这就是精典的病毒 [/quote] 那些啊,我当然知道了,还有样本,不过加密复杂,没仔细研究。 好像它是用两段代码互相加密的。几十K的东西,都是汇编写的,郁闷。 但它们为何是高级病毒?高级病毒需要什么特征?我看到它的开始部分用到几个缺省的寄存器的数值(就是Windows传进来的),你指的不会是这个吧。 [/quote] 这个病毒很狡猾的(可以这么说:已经将自己生成系统的一部分) 高极病毒: 1)具有很高的隐藏性。 2)是一个变形体。 3)能很强反跟踪手法。 4)感染的条件苛刻。 5)通过网络进行快速的传播。 |
|
35楼#
发布于:2002-07-09 19:28
你们杀毒的很看重变形和反跟踪吗?我以前对这些也很感兴趣,但现在没兴趣了。再好的变形和反跟踪最后总逃不过AVer的虚拟机,没什么大用。
我比较感兴趣的是什么样的病毒才能很难杀死。 |
|
|
36楼#
发布于:2002-07-09 19:34
andrews13你好。
我觉得很多变形病毒,与加密解密的很多难破的壳原理很相似。你说的逆向工程,轻推荐几个国外的好站吧,你主要用什么跟踪病毒,softice?谢谢 |
|
|
37楼#
发布于:2002-07-09 19:35
andrews13你好。 一般用SoftIce和IDA Pro |
|
|
38楼#
发布于:2002-07-09 19:45
[quote]andrews13你好。 一般用SoftIce和IDA Pro [/quote] 分析工具是:SOFTICE, IDA等(解变形病毒的虚拟机:虚拟相关的指令执行,但是病毒的代码没有真正的执行。) 还有一些系统工具和代码分析工具。 |
|
39楼#
发布于:2002-07-09 19:49
andrews13你好。 一般是采用静态分析比较多。 SOFTICE对动态分析很有帮助 |
|