白加黑样本第二篇:白加黑病毒与反病毒软件的对抗历史

Howl

请问解决方法呢？

一个笨鸟

Howl 发表于 2012-3-30 20:45
请问解决方法呢？

解决方法是各杀软公司正在搞的东西，属于核心竞争力，不可能直接公开的。

细细的票根

进来还是学习了解了。

z13667152750

一个笨鸟 发表于 2012-3-30 20:37
白加黑的利用是很容易想到的。既然某些杀软通过非白即黑把所有文件分为黑、白两个集合，黑集合会全杀，那木 ...

导入表加载黑dll的方法对于主防来说容易对付多了

因为需要修改PE文件,一旦修改,散列函数值就会发生改变,签名就会失效,公钥私钥一验证就完蛋了

一个笨鸟

z13667152750 发表于 2012-3-30 20:59
导入表加载黑dll的方法对于主防来说容易对付多了

因为需要修改PE文件,一旦修改,散列函数值就会发生改 ...

不用改exe吧？直接把导入表中要加载的那个dll替换成木马

z13667152750

一个笨鸟 发表于 2012-3-30 21:01
不用改exe吧？直接把导入表中要加载的那个dll替换成木马

那不就是我提到的这种白加黑样本?

这类可以利用的exe毕竟不是那么好找的,不是所有的exe都不会对加载的dll进行校验的

一个笨鸟

z13667152750 发表于 2012-3-30 21:03
那不就是我提到的这种白加黑样本?

这类可以利用的exe毕竟不是那么好找的,不是所有的exe都不会对加载的 ...

晕，exe通过导入表加载dll是系统隐式load的，除非系统帮忙验证dll，exe自身是无法在加载这种dll之前先验证的。

z13667152750

一个笨鸟 发表于 2012-3-30 21:07
晕，exe通过导入表加载dll是系统隐式load的，除非系统帮忙验证dll，exe自身是无法在加载这种dll之前先验证 ...

exe可以自己验证加载的dll

wjcharles

其实除了特征码还有另一个权宜之计，就是文件信誉，国外卡巴、诺顿、eset、avast都有，国内的两家以他们的云对搜集数量就更不在话下。
以我熟悉的NIS为例，下载分析就是基于文件信誉，对通过它支持的途径下载的恶意dll基本通杀；另外其内置的应用程序分级十几秒就可以校验所有已加载模块的信誉，所加载的恶意dll明确显示，可以直接隔离。
但显然这也算特征码的某种延伸，跟主防级别的查杀没有可比性。。。

【乱】

数字签名确实是个问题 将来数字签名的改革也是势在必行，一个身份证如果能被广泛滥用那就变的毫无意义

我想起了瑞星防火墙，智能化的话 那他的防护就变的很弱 如果不智能就会弹出很多东西，这是一般用户不懂得去识别的；所以智能化 信任化 也是会引发很多问题的

像杀软主防，针对小文件的恶意动作会很容易识破 但对于一些大企业的软件行为就属于放行