了解混合启发（静态启发+动态启发）

zhq445078388

首先  大概了解下唯一的特征码与静态启发的特征码提取方式
我们随便拽段二进制代码
比如：01101011.10010101
唯一特征码的提取方式 找到功能性代码 比如10010101
然后向前寻找唯一确认码011.
然后删除功能性代码尾部 这样得到了唯一特征码：011.1001（特征字）

然后看看启发式：启发式则是直接提取功能性代码：10010101（特征串）
启发式的库一般很小
那是因为启发式对病毒的定义是直接定义的“类” 比如：远程控制类木马 感染性病毒 针对**的盗号木马
多串功能性代码（特征串）采取加权的方式
每个特征串拥有唯一的加权级别
然后杀软主界面将文件提交给启发引擎 引擎返回一个分数 根据分数来给病毒/木马下个类的名字
如DON32。。远程控制类的都会报为“特洛伊木马变种”
特征串也会被打乱
这时候需要一个DLL来为文件去壳
去壳后的文件被主界面再次提交到启发引擎

误报要怎么解决呢？
其实很简单 把大家都不用的 误报极多的“广谱特征码”拿来用就行了（据说某山还在用。。不敢相信都）
去误报引擎的工作方式就是先校验数字签名 数字签名正确则从广谱库中提取相应厂商的广谱
如果对应 就直接放过（这么做是为了防止再次出现某山的数字签名被木马盗用的杯具）
这三个引擎 启发 去壳 去误报相互补充 构成了静态启发部分
而作为杀软 仅仅静态启发还是有可能漏杀（如去误报引擎错认 启发式引擎未收录代码 或者去壳引擎去壳失败）
这时候就需要动态启发（这是主动防御雏形 尤其注意区别某星的由主机入侵防御系统演变来的主防）
动态启发 就是向进程注入一个可以返回进程动作的DLL之类的模块
或者向系统函数（如API）挂钩
来获取程序行为 当程序执行到高危行为时 挂起进程 同时寻找规则库 查看前置进程是否符合规则定义，符合 那就可以确信是木马/病毒了
之前看到有人说API执行是半步半步走 其实并不是的 API的执行是先发起请求 然后请求执行
我们只要将API勾住 就可以获取到API请求 其实是连“半步”都没走的
这样一来极其方便去修复木马/病毒对系统的破坏 因为该木马/病毒没能执行成功高危动作就被拦截了
连执行都没能执行 自然不需要费时费力去针对这些行为做修复啦


因为以前没转正 不让发 所以发在新手那部分了。。
但是除了版主根本没人看。。所以在这里再发一次

yyyyhh123

（这么做是为了防止再次出现某山的数字签名被木马盗用的杯具）
什么时候的事？

zhq445078388

yyyyhh123 发表于 2011-6-16 14:21
（这么做是为了防止再次出现某山的数字签名被木马盗用的杯具）
什么时候的事？

很久以前了。。
可怜山山的数字签名的私钥被盗。。还是360发的安全预警

zhq445078388

谢谢“怎样”
。。写这个。很郁闷的。。没人理。

-oAo-

学习了，谢谢

xxf923036047

学习了

twfx8866

留个记号，回头仔细看

jefffire

其实很简单 把大家都不用的 误报极多的“广谱特征码”拿来用就行了

既然误报多，还怎么去误报？？校验数字签名属于哈希算法范畴和特征码有什么关系？？

动态启发 就是向进程注入一个可以返回进程动作的DLL之类的模块
或者向系统函数（如API）挂钩
来获取程序行为 当程序执行到高危行为时 挂起进程 同时寻找规则库 查看前置进程是否符合规则定义，符合 那就可以确信是木马/病毒了

从来没听说过动态启发是把程序真的运行起来的，都是emulator

nezimi

技术类的文章还是不错的

毛豆小新

技术贴是一定要顶的，虽然我不怎么看得懂！