|
阅读:3240回复:8
一种简单的特征码扫描法,请多提建议。
这是俺前天写U盘安全小助手时想到的,由于其原理十分简单,优点和缺点都十分明显,俺担心别人早就在用了,一直都没写出来。
首先,让我们来想一想普通加壳的一些弱点。 1、它必须把程序在内存中解密后运行,当然虚拟技术等狠角色除外。 2、要修改运行的程序指令难度很大,不容易自动实现。 3、由于函数之间有大量的相对CALL,相对JMP等指令,函数位置变动起来难度很大,不容易自动实现。 这样,我们可以HOOK 远程注入、注册表操作、文件读写等病毒特定操作,再扫描运行模块中的特征码,达到发现病毒的目的。 优点: 1、能够应付一些普通的壳。 2、增加了手工做免杀的难度。 缺点: 1、给了病毒一个运行的机会!(某黑客:啥子,敢给运行的机会,不想活了哇?) 2、标准不易掌握,订低了的话会让病毒PASS,订高了的话会很占系统资源。 不过总的来说,如果能够再与其它反病毒方法相结合,这个办法应该是可行的。 俺试验了一下,效果一般般。 BypassRegMon.rar |
|
|
沙发#
发布于:2007-11-20 11:57
- -这跟主动防御 & 微点之类 &传统杀毒软件的实时监控
没什么区别吧 |
|
|
驱动小牛
|
板凳#
发布于:2007-11-20 18:17
是的,杀毒软件其实都是这样的.
|
|
地板#
发布于:2007-11-21 09:21
那为啥子俺只给病毒加了一种十分简单的壳,杀软就认不到了喃?
|
|
|
地下室#
发布于:2007-11-21 11:42
因为杀软都很挫,为啥我只是不小心摘了一下fsd filter,他们的文件监控就废了呢?
 |
|
|
|
5楼#
发布于:2007-11-22 09:41
引用第4楼WQXNETQIQI于2007-11-21 11:42发表的 : mj也很挫,为啥我只是不小心捅了他一刀,他的整个系统就废了呢?  开玩笑的啦,mj别生气啊,嘿嘿~~~~~~ 什么东西都是有弱点的...... |
|
|
|
驱动小牛
|
6楼#
发布于:2007-11-27 20:19
先试试怎么有更简单的方法进RING0才是好事,AVP不好过啊...
|
|
7楼#
发布于:2008-12-30 16:59
......
貌似真的很简单 |
|
|
8楼#
发布于:2009-11-26 22:05
回 4楼(WQXNETQIQI) 的帖子
以前360的一个模块有这个功能,直接就把文件过滤驱动干掉了。本来是安全的系统,弄完后反而不安全了。 病毒、木马的都不设防了。 |
|
|