對抗啟發(fā)式代碼仿真檢測技術(shù)分析_MySQL

bitsCN.com 　　最近在研究病毒的檢測技術(shù)，雖然在這個木馬、流氓件猖獗的年代，檢測技術(shù)(除了考慮效率因素外)已經(jīng)變得不是十分重要了。但俺仍然出于興趣想從這里面尋找些思路。或許對抗技術(shù)的本身并不在于誰徹底打敗了誰，而在于彼此間共同進步。在查閱資料中發(fā)現(xiàn)了這篇文章(Anti heuristic techniques author:Black Jack )，雖然是比較古老的，但還是可以從中獲得很多新的思路。翻譯的比較粗糙，如有不正確或不準確的地方還望大家指正，后面我會繼續(xù)談些對抗仿真技術(shù)的策略。譯文如下：
　　簡介
　　在早些年的日子里，殺毒軟件通過對病毒的特征碼搜索是完全可以檢測出病毒的。但隨著病毒數(shù)量的快速增漲，反病毒研究人員發(fā)明了一些啟發(fā)式的病毒檢測方法，并把它應(yīng)用到工作中。代碼仿真的啟發(fā)式掃描器會像虛擬機一樣運行程序的代碼，并在此環(huán)境下檢測程序是否具有病毒的相似行為。
　　所以在理論上，這樣的啟發(fā)式掃描可以發(fā)現(xiàn)任何一種新的病毒。但僅僅是理論上，因為代碼仿真不可能達到對真實CUP的100%模擬，所以該技術(shù)并不能毫無遺漏的檢測出每一個病毒。由此可見，在VX社區(qū)中，尋找啟發(fā)式引擎的缺陷和利用它們就成了我們的目標和責(zé)任。我所要談的就是如何利用不同的手段欺騙并愚弄這些啟發(fā)式引擎，使我們最新創(chuàng)造的那些無形的邪惡的程序不被啟發(fā)式引擎所找到及清除。
　　這是我認為在病毒的編程領(lǐng)域里最有趣的事情(因為始終是有一種偉大的感覺，那就是你比你的敵人更聰明; -) ).以下是我在過去的日子里關(guān)于這方面的研究成果。
　　了解你的對手
　　如果你想研究Anti heuristic技術(shù)，第一件事就是你需要一個具有啟發(fā)式功能的掃描器來檢測你編寫的創(chuàng)作(virus),我建議你盡量多的找些這樣的掃描器。因為每一啟發(fā)式的掃描器都有自己的強項及弱點。我給你一個簡單的掃描器列表，我將使用這些來進行測試。
　　.Thunderbyte Antivirus (在早期，這被認為是最好的掃描器了，但現(xiàn)在，在vxer的眼中它已經(jīng)被認是很一般的了，至少在"啟發(fā)式檢測"(其實僅是特定的字符串描)方面如此。但在其它方面它附帶了很多實用的掃描器(checksummer, cleaner, memory resident utilities...)。順便說一下，每個人都會有自己喜歡的不同版本，我建議您使用7.xx這一版本。因為這個版本可以讓您制定您自己的掃描方式，這一點很重要，如果你自己不小心感染了自己的機器。
　　.F-prot 這個是不算太壞的，雖然還有很多更好的。有趣的是，比起現(xiàn)在最后的一個版本在啟發(fā)式方面有了更好的改進。所有我建議您使用V2.2.8版或像我一樣使用V2.2.7版來測試你的病毒。另外有趣的特點是這款掃描器，支持使用可疑掃描的命令行參數(shù)方式執(zhí)行。如果您使用它，將進入一個智能的掃描模式。基于這樣的原因，你知道開啟可疑檢測模式并不是必需的，如果你這樣做了，你會知道你的anti-heuristic 技術(shù)實在是太好用了。
　　.AVP :在我認為最好的啟發(fā)式掃描器當中，確實是難于欺騙的一個。我是用的版本是version 3.0 build 128
　　.NOD : 像AVP一樣的優(yōu)秀。
　　.Dr. Web: 這也是非常好的啟發(fā)式掃描器，那些俄羅斯人知道如何取得更好的Anti Virus效果。
　　.Dr Solomon's :從我一個在NAI工作的一個朋友那里知道，這是一款中高質(zhì)量的掃描器，但它的效果仍優(yōu)于mcafee。
　　.Ikarus Antivirus :一個中等品質(zhì)的掃描器，我使用它，是出于愛國的原因。
　　重要的思路
　　我的所有欺騙手段，都是基于同樣的思路的：那就是病毒是加密的，我們要在掃描器能解密出病毒體前停止仿真代碼的執(zhí)行，或者在掃描過程中隱藏我們的加密密鑰。如果你仍然沒有使用加密的方式，密鑰隱藏手段也是可以使用的，在“加密”的調(diào)用方式中(例如，int 21h 中斷的值bitsCN.com

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com