楼主: B100D1E55
收起左侧

[分享] 绕过动态启发之Microsoft篇

  [复制链接]
驭龙
发表于 2017-2-9 11:54:31 | 显示全部楼层
B100D1E55 发表于 2017-2-9 11:46
吼吼,有点好奇SP2这个小道消息是哪打听来的……话说我对这个测试的解读也有可能有误,毕竟我们只能做 ...

其实在WD的特征库加载缓存中就有完整的VFS环境信息和版本号,并不是谁说的,你自己可以看到的。

至于卡EXE,其实并不是卡普通的PE,而是包类的EXE,因为WD监控策略是遇到包EXE都会拆包监控内部文件,这就是卡EXE的原因之一。

WD的缓存是有的,但只是针对系统文件
B100D1E55
 楼主| 发表于 2017-2-9 11:57:24 | 显示全部楼层
驭龙 发表于 2017-2-9 11:54
其实在WD的特征库加载缓存中就有完整的VFS环境信息和版本号,并不是谁说的,你自己可以看到的。

至于 ...

原来如此~因为我长年以来是一重装系统第一步就是组策略关了WD,所以不怎么可能有机会发现这个秘密了
其实我觉得缓存做不清楚的话是有可能被恶意软件绕过的,当然我实际没验证过
驭龙
发表于 2017-2-9 12:13:18 | 显示全部楼层
B100D1E55 发表于 2017-2-9 11:52
很正常,专家发表跨领域的言论其实往往没什么可信度,更何况有的人只是发推吐槽一下就被媒体当正式言论 ...

插一句嘴,WD的启发和动态行为方面,也是二进制解密的
Generics/heuristics based on emulated behavior and/or decrypted binary characteristics
当然性能确实是比不过某引擎
B100D1E55
 楼主| 发表于 2017-2-9 12:23:35 | 显示全部楼层
驭龙 发表于 2017-2-9 12:13
插一句嘴,WD的启发和动态行为方面,也是二进制解密的
Generics/heuristics based on emulated behavior ...

从这句话来看很难确认一定是二进制翻译,因为interpreter同样也能叫自己的行为是emulation,我相信如果是二进制翻译,一亿计数根本是小菜不足为惧
houtiancheng
发表于 2017-2-9 12:24:30 | 显示全部楼层
驭龙 发表于 2017-2-9 11:54
其实在WD的特征库加载缓存中就有完整的VFS环境信息和版本号,并不是谁说的,你自己可以看到的。

至于 ...

不做非系统文件的缓存有没有什么理由?
明明可以极大加快速度却不做,有点奇怪……
驭龙
发表于 2017-2-9 12:33:12 | 显示全部楼层
houtiancheng 发表于 2017-2-9 12:24
不做非系统文件的缓存有没有什么理由?
明明可以极大加快速度却不做,有点奇怪……

这个不是没有,只是是临时缓存,重启以后相似,而系统文件的缓存可设置为永久,具体原因我也不清楚
驭龙
发表于 2017-2-9 12:42:07 | 显示全部楼层
B100D1E55 发表于 2017-2-9 12:23
从这句话来看很难确认一定是二进制翻译,因为interpreter同样也能叫自己的行为是emulation,我相信如果是 ...

这个我就不确定了,只是WD的引擎月月更新版本,内部函数经常变化,所以如果不用二进制转换,有一点说不过去,当然也有可能WD就是你说的interpreter那种
904570220
发表于 2017-2-9 12:52:51 | 显示全部楼层
牛人,学习了
540923555
发表于 2017-2-9 13:00:39 | 显示全部楼层
B100D1E55 发表于 2017-2-9 11:46
吼吼,有点好奇SP2这个小道消息是哪打听来的……话说我对这个测试的解读也有可能有误,毕竟我们只能做 ...

能不能写一个程序让样本上传机器的注册表及系统信息,就有可能能把仿真环境试探出来了吧
B100D1E55
 楼主| 发表于 2017-2-9 13:05:44 | 显示全部楼层
540923555 发表于 2017-2-9 13:00
能不能写一个程序让样本上传机器的注册表及系统信息,就有可能能把仿真环境试探出来了吧

你所说的很难,杀软的仿真引擎是与外界严格隔离的,自然也断网。。。当然嗅探的方法也有,早年某引擎仿真环境的用户名是固定的,被嗅探后轻松免杀了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 05:55 , Processed in 0.091338 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表