對抗啟發式代碼仿真檢測技術分析_MySQL

bitsCN.com 　　最近在研究病毒的檢測技術，雖然在這個木馬、流氓件猖獗的年代，檢測技術(除了考慮效率因素外)已經變得不是十分重要了。但俺仍然出于興趣想從這里面尋找些思路。或許對抗技術的本身并不在于誰徹底打敗了誰，而在于彼此間共同進步。在查閱資料中發現了這篇文章(Anti heuristic techniques author:Black Jack )，雖然是比較古老的，但還是可以從中獲得很多新的思路。翻譯的比較粗糙，如有不正確或不準確的地方還望大家指正，后面我會繼續談些對抗仿真技術的策略。譯文如下：
　　簡介
　　在早些年的日子里，殺毒軟件通過對病毒的特征碼搜索是完全可以檢測出病毒的。但隨著病毒數量的快速增漲，反病毒研究人員發明了一些啟發式的病毒檢測方法，并把它應用到工作中。代碼仿真的啟發式掃描器會像虛擬機一樣運行程序的代碼，并在此環境下檢測程序是否具有病毒的相似行為。
　　所以在理論上，這樣的啟發式掃描可以發現任何一種新的病毒。但僅僅是理論上，因為代碼仿真不可能達到對真實CUP的100%模擬，所以該技術并不能毫無遺漏的檢測出每一個病毒。由此可見，在VX社區中，尋找啟發式引擎的缺陷和利用它們就成了我們的目標和責任。我所要談的就是如何利用不同的手段欺騙并愚弄這些啟發式引擎，使我們最新創造的那些無形的邪惡的程序不被啟發式引擎所找到及清除。
　　這是我認為在病毒的編程領域里最有趣的事情(因為始終是有一種偉大的感覺，那就是你比你的敵人更聰明; -) ).以下是我在過去的日子里關于這方面的研究成果。
　　了解你的對手
　　如果你想研究Anti heuristic技術，第一件事就是你需要一個具有啟發式功能的掃描器來檢測你編寫的創作(virus),我建議你盡量多的找些這樣的掃描器。因為每一啟發式的掃描器都有自己的強項及弱點。我給你一個簡單的掃描器列表，我將使用這些來進行測試。
　　.Thunderbyte Antivirus (在早期，這被認為是最好的掃描器了，但現在，在vxer的眼中它已經被認是很一般的了，至少在"啟發式檢測"(其實僅是特定的字符串描)方面如此。但在其它方面它附帶了很多實用的掃描器(checksummer, cleaner, memory resident utilities...)。順便說一下，每個人都會有自己喜歡的不同版本，我建議您使用7.xx這一版本。因為這個版本可以讓您制定您自己的掃描方式，這一點很重要，如果你自己不小心感染了自己的機器。
　　.F-prot 這個是不算太壞的，雖然還有很多更好的。有趣的是，比起現在最后的一個版本在啟發式方面有了更好的改進。所有我建議您使用V2.2.8版或像我一樣使用V2.2.7版來測試你的病毒。另外有趣的特點是這款掃描器，支持使用可疑掃描的命令行參數方式執行。如果您使用它，將進入一個智能的掃描模式。基于這樣的原因，你知道開啟可疑檢測模式并不是必需的，如果你這樣做了，你會知道你的anti-heuristic 技術實在是太好用了。
　　.AVP :在我認為最好的啟發式掃描器當中，確實是難于欺騙的一個。我是用的版本是version 3.0 build 128
　　.NOD : 像AVP一樣的優秀。
　　.Dr. Web: 這也是非常好的啟發式掃描器，那些俄羅斯人知道如何取得更好的Anti Virus效果。
　　.Dr Solomon's :從我一個在NAI工作的一個朋友那里知道，這是一款中高質量的掃描器，但它的效果仍優于mcafee。
　　.Ikarus Antivirus :一個中等品質的掃描器，我使用它，是出于愛國的原因。
　　重要的思路
　　我的所有欺騙手段，都是基于同樣的思路的：那就是病毒是加密的，我們要在掃描器能解密出病毒體前停止仿真代碼的執行，或者在掃描過程中隱藏我們的加密密鑰。如果你仍然沒有使用加密的方式，密鑰隱藏手段也是可以使用的，在“加密”的調用方式中(例如，int 21h 中斷的值bitsCN.com

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com