查看: 7709|回复: 47
收起左侧

[技术原创] 了解混合启发(静态启发+动态启发)

  [复制链接]
zhq445078388
发表于 2011-6-16 14:15:57 | 显示全部楼层 |阅读模式
首先  大概了解下唯一的特征码与静态启发的特征码提取方式
我们随便拽段二进制代码
比如:01101011.10010101
唯一特征码的提取方式 找到功能性代码 比如10010101
然后向前寻找唯一确认码011.
然后删除功能性代码尾部 这样得到了唯一特征码:011.1001(特征字)

然后看看启发式:启发式则是直接提取功能性代码:10010101(特征串)
启发式的库一般很小
那是因为启发式对病毒的定义是直接定义的“类” 比如:远程控制类木马 感染性病毒 针对**的盗号木马
多串功能性代码(特征串)采取加权的方式
每个特征串拥有唯一的加权级别
然后杀软主界面将文件提交给启发引擎 引擎返回一个分数 根据分数来给病毒/木马下个类的名字
如DON32。。远程控制类的都会报为“特洛伊木马变种”
特征串也会被打乱
这时候需要一个DLL来为文件去壳
去壳后的文件被主界面再次提交到启发引擎

误报要怎么解决呢?
其实很简单 把大家都不用的 误报极多的“广谱特征码”拿来用就行了(据说某山还在用。。不敢相信都)
去误报引擎的工作方式就是先校验数字签名 数字签名正确则从广谱库中提取相应厂商的广谱
如果对应 就直接放过(这么做是为了防止再次出现某山的数字签名被木马盗用的杯具)
这三个引擎 启发 去壳 去误报相互补充 构成了静态启发部分
而作为杀软 仅仅静态启发还是有可能漏杀(如去误报引擎错认 启发式引擎未收录代码 或者去壳引擎去壳失败)
这时候就需要动态启发(这是主动防御雏形 尤其注意区别某星的由主机入侵防御系统演变来的主防)
动态启发 就是向进程注入一个可以返回进程动作的DLL之类的模块
或者向系统函数(如API)挂钩
来获取程序行为 当程序执行到高危行为时 挂起进程 同时寻找规则库 查看前置进程是否符合规则定义,符合 那就可以确信是木马/病毒了
之前看到有人说API执行是半步半步走 其实并不是的 API的执行是先发起请求 然后请求执行
我们只要将API勾住 就可以获取到API请求 其实是连“半步”都没走的
这样一来极其方便去修复木马/病毒对系统的破坏 因为该木马/病毒没能执行成功高危动作就被拦截了
连执行都没能执行 自然不需要费时费力去针对这些行为做修复啦


因为以前没转正 不让发 所以发在新手那部分了。。
但是除了版主根本没人看。。所以在这里再发一次

评分

参与人数 5经验 +20 人气 +4 收起 理由
主动防御 + 1 写得不错
ioton + 1 分析的很好,支持
聆听落雨 + 1 鼓励原创,写的很辛苦,加RQ
皇甫暮云 + 20 原创内容
你想怎样 + 1 原创不容易 消灭零人气

查看全部评分

yyyyhh123
发表于 2011-6-16 14:21:25 来自手机 | 显示全部楼层
(这么做是为了防止再次出现某山的数字签名被木马盗用的杯具)
什么时候的事?
zhq445078388
 楼主| 发表于 2011-6-16 14:23:55 | 显示全部楼层
yyyyhh123 发表于 2011-6-16 14:21
(这么做是为了防止再次出现某山的数字签名被木马盗用的杯具)
什么时候的事?

很久以前了。。
可怜山山的数字签名的私钥被盗。。还是360发的安全预警
zhq445078388
 楼主| 发表于 2011-6-16 14:27:15 | 显示全部楼层
谢谢“怎样”
。。写这个。很郁闷的。。没人理。
-oAo-
发表于 2011-6-16 14:46:21 | 显示全部楼层
学习了,谢谢
xxf923036047
发表于 2011-6-16 14:58:14 | 显示全部楼层
学习了
twfx8866
发表于 2011-6-16 15:04:08 | 显示全部楼层
留个记号,回头仔细看
jefffire
头像被屏蔽
发表于 2011-6-16 15:08:59 | 显示全部楼层
本帖最后由 jefffire 于 2011-6-16 15:21 编辑
其实很简单 把大家都不用的 误报极多的“广谱特征码”拿来用就行了


既然误报多,还怎么去误报??校验数字签名属于哈希算法范畴和特征码有什么关系??

动态启发 就是向进程注入一个可以返回进程动作的DLL之类的模块
或者向系统函数(如API)挂钩
来获取程序行为 当程序执行到高危行为时 挂起进程 同时寻找规则库 查看前置进程是否符合规则定义,符合 那就可以确信是木马/病毒了


从来没听说过动态启发是把程序真的运行起来的,都是emulator
nezimi
发表于 2011-6-16 15:15:00 | 显示全部楼层
技术类的文章还是不错的
毛豆小新
发表于 2011-6-16 15:16:11 | 显示全部楼层
技术贴是一定要顶的,虽然我不怎么看得懂!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:02 , Processed in 0.146990 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表