|
阅读:3148回复:8
一种简单的特征码扫描法,请多提建议。
这是俺前天写U盘安全小助手时想到的,由于其原理十分简单,优点和缺点都十分明显,俺担心别人早就在用了,一直都没写出来。
首先,让我们来想一想普通加壳的一些弱点。 1、它必须把程序在内存中解密后运行,当然虚拟技术等狠角色除外。 2、要修改运行的程序指令难度很大,不容易自动实现。 3、由于函数之间有大量的相对CALL,相对JMP等指令,函数位置变动起来难度很大,不容易自动实现。 这样,我们可以HOOK 远程注入、注册表操作、文件读写等病毒特定操作,再扫描运行模块中的特征码,达到发现病毒的目的。 优点: 1、能够应付一些普通的壳。 2、增加了手工做免杀的难度。 缺点: 1、给了病毒一个运行的机会!(某黑客:啥子,敢给运行的机会,不想活了哇?) 2、标准不易掌握,订低了的话会让病毒PASS,订高了的话会很占系统资源。 不过总的来说,如果能够再与其它反病毒方法相结合,这个办法应该是可行的。 俺试验了一下,效果一般般。 BypassRegMon.rar |
|
|
沙发#
发布于:2007-11-21 09:21
那为啥子俺只给病毒加了一种十分简单的壳,杀软就认不到了喃?
|
|