绕过动态启发之Microsoft篇

显示全部楼层 · 发表于 2017-2-9 13:25:19

B100D1E55 发表于 2017-2-9 13:05
你所说的很难，杀软的仿真引擎是与外界严格隔离的，自然也断网。。。当然嗅探的方法也有，早年某引擎仿真 ...

@540923555

其实看VFS的缓存组件就可以了，如图

这技术已经用八九年了，一直没有超大更新和改进，当初是为Windows 7设计的，以助其分析更多的PE，这就是微软的VFS-虚拟文件系统。

可惜这么多年了，没有更新架构

显示全部楼层 · 发表于 2017-2-9 13:40:43

本帖最后由 jefffire 于 2017-2-9 13:42 编辑

MSE 动态启发还匹配EICAR。。。

显示全部楼层 · 发表于 2017-2-9 13:47:56

jefffire 发表于 2017-2-9 13:40
MSE 动态启发还匹配EICAR。。。

我的理解是只有ms对动态启发的释放文件额外做了静态特征匹配，其他引擎应该是纯behavioral model故不报毒

显示全部楼层 · 发表于 2017-2-9 14:07:58

本帖最后由 jefffire 于 2017-2-9 14:10 编辑

B100D1E55 发表于 2017-2-9 13:47
我的理解是只有ms对动态启发的释放文件额外做了静态特征匹配，其他引擎应该是纯behavioral model故不报毒

有道理。
试了试写了一个脚本释放EICAR文本。MSE并没报毒。看来这个策略只影响PE

测试还发现SUPERAntiSpyware这家简直瞎搞删掉几个字符都报毒。。

显示全部楼层 · 发表于 2017-2-9 16:40:17

看不懂系列

显示全部楼层 · 发表于 2017-2-9 18:09:26

向卡EXE势力低头...

显示全部楼层 · 发表于 2017-2-9 19:44:36

进入看戏模式~

显示全部楼层 · 发表于 2017-2-9 21:51:12

jefffire 发表于 2017-2-9 14:07
有道理。
试了试写了一个脚本释放EICAR文本。MSE并没报毒。看来这个策略只影响PE

哈哈说明可以检测EICAR变种

很多厂商不实际测一下误报都不知道他们做了什么恐怖的事，江民有一个downloader特征几乎是见啥报啥，包括hello world

显示全部楼层 · 发表于 2017-2-10 01:52:07

jefffire 发表于 2017-2-9 14:07
有道理。
试了试写了一个脚本释放EICAR文本。MSE并没报毒。看来这个策略只影响PE

吐槽一下，微软引擎的内部用户名是固定的，刚才试着嗅探了一下

显示全部楼层 · 发表于 2017-2-10 08:42:49

谢谢分享～

[分享] 绕过动态启发之Microsoft篇