关于VMProtect脱壳问题~~~

显示全部楼层 · 发表于 2013-2-23 20:22:44

本帖最后由 vardyh 于 2013-2-23 21:21 编辑

最近，这两个帖子中，

http://bbs.kafan.cn/thread-1471826-1-1.html
http://bbs.kafan.cn/thread-1471943-1-1.html

一直有朋友提起vmprotect保护的问题，无外乎两个论点：
1. vmprotect是虚拟混淆的，所以没法解；
2. vmprotect太强，解不了，所以直接杀有情可原；

对于论点1我部分承认，VMProtect确实强，这点我必须承认，但并非完全无解，当然火绒也不能保证跑开全部vmprotect保护的样本，

而对于论点2我就不敢认同了，总要努力下吧。。。

废话不多说了，我随便找了个病毒样本，做了下实验，

附件中 1.ex_ 是原始样本，(VT: https://www.virustotal.com/en/file/48bf05a1899e6420ee5ec7ff39d34547bc83aec7b3273dddbb06b6e4c637b094/analysis/)
附件中 1.vmp.ex_ 是经过 VMProtect Ultimate v2.06 默认参数加壳的，(VT: [url]https://www.virustotal.com/en/file/69045c63da33e1f12da36c0d3f28e28d42c259e1a945bfd0b50dbedd4ff57d51/analysis/1361620816/)

大家可以看下，vmprotect保护前vt上37家报，保护后vt上21家报，
另外，两个样本都报的，大家也可以留意下病毒名，是可以看出些端倪的，具体我不多解释了，避免口水，理性讨论~~

有兴趣的朋友，拿起你们的扫描器，比较下两个样本报的病毒名、扫描文件数~~

如果你的杀软两个样本报不一样名字，说明肯定没脱vmprotect（有的甚至直接把vmprotect报毒了，vmp可是商业壳

）
如果两次报的名字一样，很有可能你的杀软跑开了vmprotect的保护代码（如果扫描数>=2，那基本可以肯定是跑开了

）

显示全部楼层 · 发表于 2013-2-23 20:26:32

军哥，我ESET发威了。。

显示全部楼层 · 发表于 2013-2-23 20:27:03

坐观~

显示全部楼层 · 发表于 2013-2-23 20:27:10

沙发

被抢了。。。呜呜

显示全部楼层 · 发表于 2013-2-23 20:30:05

蓝天二号发表于 2013-2-23 20:26
军哥，我ESET发威了。。

看病毒名，直接把vmprotect报了

显示全部楼层 · 发表于 2013-2-23 20:31:01

vardyh 发表于 2013-2-23 20:30
看病毒名，直接把vmprotect报了

是的，，很强大啊。。

显示全部楼层 · 发表于 2013-2-23 20:33:37

保护后数字 qvm16

你能看的出真谛么~

显示全部楼层 · 发表于 2013-2-23 20:34:11

第一个

第二个

显示全部楼层 · 发表于 2013-2-23 20:39:24

来凑凑热闹

显示全部楼层 · 发表于 2013-2-23 20:40:33

显示全部楼层 · 发表于 2013-2-23 20:43:49

瑞星的本地化虚拟机（现在还在用的）就是vardyh设计开发的～

大神，求签名！~

显示全部楼层 · 发表于 2013-2-23 20:48:18

显示全部楼层 · 发表于 2013-2-23 21:05:48

显示全部楼层 · 发表于 2013-2-23 21:10:44

晕死，下载下来就被杀了

显示全部楼层 · 发表于 2013-2-23 21:17:10

病毒: Win32.Alman.C (引擎A)

病毒: Win32.Alman.C (引擎A)

完整路径: c:\windows\temp\avkhttp00000d2c.tmp
威胁: W32.Almanahe.B!inf
____________________________
____________________________

在电脑上的创建时间
2013/2/23 ( 21:13:39 )

上次使用时间
2013/2/23 ( 21:13:39 )

启动项目
否

已启动
否

____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

文件来源树



____________________________
文件操作
avkhttp00000d2c.tmp
已阻止

平均资源使用率:
未知

平均CPU 使用率:
未知

平均内存使用率:
未知

____________________________
文件指纹 - SHA:
48bf05a1899e6420ee5ec7ff39d34547bc83aec7b3273dddbb06b6e4c637b094
____________________________
文件指纹 - MD5:
0583179daca38aaa29409fef502a362d
____________________________

完整路径: c:\users\administrator\appdata\local\temp\8a35.tmp
威胁: Packed.Vmpbad!gen4
____________________________
____________________________

在电脑上的创建时间
2013/2/23 ( 21:14:10 )

上次使用时间
2013/2/23 ( 21:14:10 )

启动项目
否

已启动
否

____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。
____________________________

文件来源树



____________________________
文件操作
8A35.tmp
已阻止

平均资源使用率:
未知

平均CPU 使用率:
未知

平均内存使用率:
未知

____________________________
文件指纹 - SHA:
69045c63da33e1f12da36c0d3f28e28d42c259e1a945bfd0b50dbedd4ff57d51
____________________________
文件指纹 - MD5:
dc06c9733facbc655bfcf46b5f9bafab
____________________________

显示全部楼层 · 发表于 2013-2-23 21:33:52

熊猫互联网安全套装2013事件报告
已选择的过滤器:全部，日期:全部
事件                                     通知方式                      日期 – 时间          结果                附加信息
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
扫描已完成                               手动扫描                      2013/2/23 21:29:38                         扫描:扫描系统

可疑文件                               手动扫描                      2013/2/23 21:29:38    已移至隔离区       文件:c:\1.vmp.ex_

检测到病毒:W32/Almanahe.L.drp          手动扫描                      2013/2/23 21:29:27    已删除             路径:c:\1.ex_

扫描已启动                               手动扫描                      2013/2/23 21:29:21                         扫描:扫描系统

显示全部楼层 · 发表于 2013-2-23 21:43:59

不双击费尔动态防御也报毒。。。没有病毒名，取消病毒库后扫描，启发报毒，费尔貌似启发病毒名称都一样。。。。开启病毒库，其中一个基因报毒，另一个还是启发，报毒名称肯定不同

显示全部楼层 · 发表于 2013-2-23 22:14:57

就BD和MS能報出同樣的名字

显示全部楼层 · 发表于 2013-2-23 22:24:52

据说，解壳是展现在kvm中。

显示全部楼层 · 发表于 2013-2-23 22:32:12

1
Bitdefender 已阻挡这个网页
您要浏览的网页内有Win32.Alman.C。

带我回到安全网页
我了解有风险，还是让我去吧

2

Bitdefender 已阻挡这个网页
您要浏览的网页内有Win32.Alman.C。

带我回到安全网页
我了解有风险，还是让我去吧

[病毒样本] 关于VMProtect脱壳问题~~~

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源