关于VMProtect脱壳问题~~~

china_killer

jefffire 发表于 2013-2-24 12:31
说白了就是脱壳不划算 尤其是根本没正规软件会用的壳

毕竟脱不了壳，对样本可提取的信息量少了很多～～～

所以脱壳是一个扫描引擎的基础功能～～


另外：本地监控防御技术的发展就不太注重脱壳，这个有兴趣的可以 看看火绒的行为分析引擎！！

本地监控，行为分析～～这两年杀毒，安全软件发展的新点！！！

xifanwoai

vmprotect 不是杀软能搞得定的.
这个壳的精髓在于虚拟变形. 壳强度不高.难点在于Anti-VM 也就是还原被虚拟后的代码
不在乎你脱不脱,脱掉没修复只能本地用,

vardyh

xifanwoai 发表于 2013-2-24 14:32
vmprotect 不是杀软能脱得了的.
这个壳的精髓在于虚拟变形. 壳强度不高.难点在于Anti-VM 也就是还原被虚拟 ...

关键在于对“脱"的理解，
引擎的目标是查毒，所以“脱”不一定需要“精确还原”，也可以是虚拟跑开，（当然，非vm类的壳是完全可以“精确还原”的，包括偷代码的），能跑开就能”还原“程序行为（非精确还原），能”还原“程序行为引擎就能查毒了（看火绒的启发报毒就知道了）

关于虚拟机，这两天在写相关的文档，过两天发出来说明下吧，

xifanwoai

vardyh 发表于 2013-2-24 14:36
关键在于对“脱"的理解，
引擎的目标是查毒，所以“脱”不一定需要“精确还原”，也可以是虚拟跑开，（ ...

我知道,所以说跟壳的品种没关系,能查到毒便是了,
一般用户是不会管你这个是啥壳啥壳的,
说到报喜. 都是盗版的商业壳,正版壳有水印是不会报的,
木马一般用的都是泄露的key 或者patch版的商业壳.水印早进黑名单了
我个人理解为杀软厂商的理念不同. 查水印确定是盗版壳直接报毒,
有的则是 检测软件的真实动作. 况且vmprotect作用是为了加强逆向工程量,而不是为了防查毒的,
根据bin的动作报毒,
2个方法各有各的好处和坏处,看如何区分了

vardyh

xifanwoai 发表于 2013-2-24 14:40
我知道,所以说跟壳的品种没关系,能查到毒便是了,一般用户是不会管你这个是啥壳啥壳的,
说到报喜 ...

商业壳是特殊，但如果真有哪家是查水印的，我只能说佩服~~
非商业壳，报壳的底线是免杀壳、手工修改的壳、pepatch、手工混淆代码、非常用壳变形代码，
或者再说的赤裸裸些，官网upx加壳都不脱你觉得合适么（直接拉黑的也就认了，白文件官网upx都不脱。。。），具体有哪家自己验证吧。。。~~

另外我再补充一句，vm类的壳（比如vmprotect）是个二进制翻译（可以简单理解为代码的等效替换，其实还包括了乱序、优化等）的话题了（翻译过程中还随机插了混淆代码），从“精确还原”的角度来看是无解的。但是！除了虚拟机跑开，还是可以通过再次二进制翻译来查的，只是那是真正的代码级对抗了，但作为杀软来讲实际应用意义不大。

所以关于脱壳的问题之前两个帖子根本没有类似vmp这种壳（如果那两个帖子用vmp，那真叫欺负人了），但两个帖子不断有人拿vmp来举例说事，所以才有了这篇帖子~~~

vardyh

xifanwoai 发表于 2013-2-24 14:40
我知道,所以说跟壳的品种没关系,能查到毒便是了,
一般用户是不会管你这个是啥壳啥壳的,
说到报 ...

至于水印黑名单，我还是要说如果哪家是靠这个报壳，我真是要说佩服
不要被一些厂商妖魔化的回复邮件忽悠了~~有真有假~~至于真假，重要的不是壳而是被壳并被报的是谁，我想我说的很明白了，再说隐晦就没法解释了~

jinglu

vardyh 发表于 2013-2-24 14:36
关键在于对“脱"的理解，
引擎的目标是查毒，所以“脱”不一定需要“精确还原”，也可以是虚拟跑开，（ ...

期待大牛科普！