史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > Hacker/Cracker 及加解密技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-05, 04:53 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 揭穿 某些木馬專殺(含部分殺毒軟體)的詭計

揭穿 某些木馬專殺(含部分殺毒軟體)的詭計



首先聲明:這個是轉貼。原文作者:taylor0577
發表於:杭州市志願者論壇 [BBS.HZVA.ORG]
今天本來計劃去昇級下昇級包的給rising防火牆,看到了這個帖子,這個作者經常會有一些顛覆性的東西出來,歡迎大家討論!


[原創]揭穿 某些木馬專殺(含部分殺毒軟體)的詭計.

本文就某些以特徵碼查殺為主的木馬專殺以及部分殺毒軟體做簡要的分析.
本文涉及的殺毒軟體 /專殺 基本以國外的為主,僅做技術上的探討
本人對此文產生的後果概不負責

首先我們看 特徵碼為主殺毒軟體是怎樣查殺木馬的

以特徵碼技術為主的殺毒軟體 利用病毒庫中設定的病毒特徵碼與文件中的特徵碼進行對比.如文件中有符合的病毒特徵碼將判斷為 該檔案為病毒

現代的正規殺毒軟體還融合了虛擬機技術進行病毒行為判斷 以及針對程序入口點的啟髮式掃瞄.

什麼是特徵碼
程序執行時,在記憶體中為完成特定的動作,要有特殊的指令,
一個程序在執行時,同一記憶體位址的指令是相同的
同一個程序中,一段連續的位址(它的指令相同),截取這段位址 這就是特徵碼

特徵碼怎麼抽取
對程序進行脫殼 反彙編 抽取一段連續的位址(它的指令相同)即可
為了防止誤殺 一般正規的殺毒軟體都是抽取3處以上的關鍵特徵.

為什麼經過殺毒軟體查殺以後,木馬專殺仍然能殺出文件.
這個問題困擾了很多網友, 最直接的後果就是 得出這樣一個結論: 殺毒軟體殺馬不行.
為什麼絕大部分木馬專殺在 引擎不如正規廠商以及病毒搜集能力也不如其他正規廠商的情況下,報毒的文件數遠高於其他正規殺毒軟體?
但是這裡我要揭穿各類木馬專殺以及某些免費的殺毒軟體的詭計.
這類殺毒軟體做法非常簡單,在特徵碼上面做手腳.大家都知道正規殺毒軟體在特徵碼的抽取上非常嚴格,為了避免誤殺殺毒軟體一般是抽取至少3處 關鍵的 核心特徵(缺少了這些特徵文件無法執行), 目前殺毒軟體一般選項4-5處的特徵.而這些木馬專殺抽取的特徵數目就遠遠少於這個數目.一般情況下他們只抽取2-3處的特徵.這樣做的直接結果是報毒文件數直接上升,但是絕大部分為誤報.這種做法迎合了普通線人的心理,殺得越多說明殺毒軟體越好,殊不知 大量的系統檔案和各類有用的軟體就這樣被殺了.

如第一張圖
大家都知道 rfwProxy是 瑞星防火牆的一個元件
upiea是 惡意軟體的清理

而圖上 第一個文件從檔案名看 應該是某個軟體的卸載元件.

大家看 第二張圖

第一個文件是瑞星防火牆安裝程序
第二到第四 是超級兔子的文件
最後兩個我前面說過了
我們看 第三張圖 這張圖我從 網上找來的

圖中的 文件均是易語言的工具包…..是正常的工具
最後我們說說病毒是怎樣定義的.
這裡的病毒包含一般的PE病毒 木馬 蠕蟲等.
殺毒軟體定義病毒是非常嚴格的, 病毒必須會對電腦軟體(硬體內的訊息)進行破壞(包括修改移除) 或者有自動傳播 或者會盜取訊息 開啟後門等.
因此像3721 易趣插件 百度工具條 等這類均不屬於病毒.因此殺毒軟體是不應該對這些進行查殺的.因為這些工具和插件不具備病毒 或木馬的特點.
但是某些專殺為了迎合用戶心理,欺騙用戶 對這些這些報為 木馬或者間諜.無疑 這是完全欺騙用戶的行為.
總而言之,相當一部分的木馬專殺以及某些殺毒軟體為了顯示自己 「強大的殺馬能力」不惜以誤報為代價,在特徵碼上面做手腳,這種做法嚴重誤導了用戶,也給用戶造成了損失.
http://bbs.hzva.org/attachments/ext_jpg/2_aZuSKp6lKm8j.jpg

http://bbs.hzva.org/attachments/ext_jpg/3_Pvwot85ycdMP.jpg

http://bbs.hzva.org/attachments/ext_jpg/showimg_OAGU3eJCTh9F.jpg
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:20 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1