zjjmj2002
驱动小牛
驱动小牛
  • 注册日期2007-04-05
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分15分
  • 威望321点
  • 贡献值0点
  • 好评度224点
  • 原创分1分
  • 专家分0分
阅读:3129回复:8

一种简单的特征码扫描法,请多提建议。

楼主#
更多 发布于:2007-11-20 11:41
这是俺前天写U盘安全小助手时想到的,由于其原理十分简单,优点和缺点都十分明显,俺担心别人早就在用了,一直都没写出来。
首先,让我们来想一想普通加壳的一些弱点。

1、它必须把程序在内存中解密后运行,当然虚拟技术等狠角色除外。
2、要修改运行的程序指令难度很大,不容易自动实现。
3、由于函数之间有大量的相对CALL,相对JMP等指令,函数位置变动起来难度很大,不容易自动实现。

这样,我们可以HOOK 远程注入、注册表操作、文件读写等病毒特定操作,再扫描运行模块中的特征码,达到发现病毒的目的。

优点:
1、能够应付一些普通的壳。
2、增加了手工做免杀的难度。
缺点:
1、给了病毒一个运行的机会!(某黑客:啥子,敢给运行的机会,不想活了哇?)
2、标准不易掌握,订低了的话会让病毒PASS,订高了的话会很占系统资源。

不过总的来说,如果能够再与其它反病毒方法相结合,这个办法应该是可行的。
俺试验了一下,效果一般般。 BypassRegMon.rar
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-11-20 11:57
- -这跟主动防御 & 微点之类 &传统杀毒软件的实时监控
没什么区别吧
驱动开发者 呵呵
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
板凳#
发布于:2007-11-20 18:17
是的,杀毒软件其实都是这样的.
zjjmj2002
驱动小牛
驱动小牛
  • 注册日期2007-04-05
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分15分
  • 威望321点
  • 贡献值0点
  • 好评度224点
  • 原创分1分
  • 专家分0分
地板#
发布于:2007-11-21 09:21
那为啥子俺只给病毒加了一种十分简单的壳,杀软就认不到了喃?
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
地下室#
发布于:2007-11-21 11:42
因为杀软都很挫,为啥我只是不小心摘了一下fsd filter,他们的文件监控就废了呢?
驱动开发者 呵呵
ljh1021
驱动小牛
驱动小牛
  • 注册日期2007-05-30
  • 最后登录2010-05-18
  • 粉丝0
  • 关注0
  • 积分936分
  • 威望126点
  • 贡献值0点
  • 好评度92点
  • 原创分0分
  • 专家分0分
5楼#
发布于:2007-11-22 09:41
引用第4楼WQXNETQIQI于2007-11-21 11:42发表的  :
因为杀软都很挫,为啥我只是不小心摘了一下fsd filter,他们的文件监控就废了呢?

mj也很挫,为啥我只是不小心捅了他一刀,他的整个系统就废了呢?
开玩笑的啦,mj别生气啊,嘿嘿~~~~~~
什么东西都是有弱点的......
消灭人类暴政,世界属于三体!
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
6楼#
发布于:2007-11-27 20:19
先试试怎么有更简单的方法进RING0才是好事,AVP不好过啊...
lcy378515138
驱动牛犊
驱动牛犊
  • 注册日期2008-12-30
  • 最后登录2008-12-30
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望11点
  • 贡献值1点
  • 好评度0点
  • 原创分0分
  • 专家分0分
7楼#
发布于:2008-12-30 16:59
......
貌似真的很简单
dreamsity
驱动小牛
驱动小牛
  • 注册日期2006-09-01
  • 最后登录2013-07-04
  • 粉丝0
  • 关注0
  • 积分40分
  • 威望821点
  • 贡献值1点
  • 好评度68点
  • 原创分1分
  • 专家分0分
8楼#
发布于:2009-11-26 22:05
回 4楼(WQXNETQIQI) 的帖子
以前360的一个模块有这个功能,直接就把文件过滤驱动干掉了。
本来是安全的系统,弄完后反而不安全了。
病毒、木马的都不设防了。
一切都是时间问题!
游客

返回顶部