有人说病毒库没法逆向，我就发一个

潘中医

碉堡了

无奈的C

看上去好厉害的样子

大金鱼先生

···貌似zmpi仍然在小黑屋里·····看LX貌似刑满释放···

zhq445078388

说真的 根本就没看明白结构
有人问我了。。
好吧 这里编辑下：

那病毒库的结构看起来像md5。。但是结合这货的检出率  又不觉得是
看前部分 可能是片段特征码
后部分HASH开头的 可能是MD5  。。
分析几个：
POLY=Trojan.Agent && SIZE=45000, 1000000 && VERSION=1, Microsoft Corporation && VERSION=3, 5.3.2600.5512 (xpsp.080413-0845) && VERSION=7, dsave.dll

病毒名：Trojan.Agent
大小：45000字节~1000000 字节
文件名：dsave.dll
描述用的公司：Microsoft Corporation
使用的版本：3, 5.3.2600.5512  平台：xp spx 如不是xp平台 则版本 7

POLY=Spyware.Passwords && VERSION=8, Project1 && RESOURCE=RT_ICON, 528, 441316FF511515FD8E43408900000000000000000000000000000000000000009A474BC976160DFF70150DFF68120BFF
病毒名：Spyware.Passwords
版本：8
特征所在：图标 大小 528
特征节：441316FF511515FD8E43408900000000000000000000000000000000000000009A474BC976160DFF70150DFF68120BFF
应该是绝对特征

下面这个可能是可变特征：

POLY=Backdoor.Bot && SIZE=102000, 120000 && SIGNED=FALSE && STRINGS=%EP%, E8????0000E978FEFFFF8BFF558BEC8B450833C93B04CD??????0074134183F92D72F18D48ED83F911770E6A0D58 && STRINGS=1024, 558BEC837D10008B4D08568BF174128B550C8A02FF4D1088014142837D100075F18BC65E5DC3FF742404FF74240CFF15
病毒名：Backdoor.Bot
大小：102000字节~120000 字节
签名状态：无签名
存在的特征：
1.字符串：%EP%起始 到E8???? 之间长度不定 后接绝对特征：0000E978FEFFFF8BFF558BEC8B450833C93B04CD
不定特征：??????
接绝对特征：0074134183F92D72F18D48ED83F911770E6A0D58

或：
1.字符串：
长度1024
特征：558BEC837D10008B4D08568BF174128B550C8A02FF4D1088014142837D100075F18BC65E5DC3FF742404FF74240CFF15

额。。解析到这里 我蛋疼了。。我相信不是这么简单的解析。。
所以懒得弄了
总的来说，，如果这个病毒库解析的木问题的话。。这个杀软是在杀字符串以及资源区。。
。另外 发现大量的注册表 目录信息 可能是这部分的需要专门杀？
或者说只杀这部分。。或者说在这里的就直接报毒。。

这是专业杀毒软件。。不可能这么干吧。。所以我认为我解析出问题了。。就没接下去

z13667152750

我在那个帖子提到的某杀软就是iobit

明文病毒库不怕库文件被误报吗.....

ujty

有耳闻。

jefffire

z13667152750 发表于 2012-7-8 20:38
我在那个帖子提到的某杀软就是iobit

明文病毒库不怕库文件被误报吗.....

理解错误，编辑掉

jefffire

zhq445078388 发表于 2012-7-8 20:13
说真的 根本就没看明白结构
有人问我了。。
好吧 这里编辑下：

你没用过Malwarebytes吧，报注册表不是一般的多。而且从注册表，甚至文件名反推可能存在某些病毒的方法也很常见，举例来说，诺顿对TDSS就有这样的特征。

Malwarebytes在卡饭那一阶段正好样本对口，查杀高。实际上，根据一些测试组织的消息来源，查杀并不高，当然误报也不高。

aqingge

看看再说  

aqingge

avast  报毒啊