实验中的技术（更新到2.0）

mofunzone

唯一的办法就是ramdisk
不过我已经可以想象你一个样本的大小是多少了，5mb不多
而且只在内存，这病毒对于我们正常用户来说，基本无用
服务器么，可能还有点意义，不过越是每人碰的服务器，能中这种病毒的几率越低
不看好前景

jehovah_king

你又不能保证到我学习内存技术时还是只有ramdisk
事实上我在想如何欺骗readyboost利用它来加载
不过那是更遥远的事了

fishx

没大有戏

mofunzone

这个世界有多少人用readyboost这种无聊的技术的，还不如用nano
有想法，我看好你，未来的新型病毒，可惜的就是，大规模用来抓肉鸡显然是无意义的，做做蠕虫搞破坏还可能
p.s 就把文件切开了，特征码做的好的软件只要能识别出一片你的整个文件就报废
个人的看法是，想法是好的，技术是有的，意义没发现。。

jehovah_king

感谢精彩点评
1我不抓肉鸡，我是对反病毒感兴趣，我之所以攻是为了更好的防，学病毒是为了反病毒，对病毒可能使用的技术，我都应该注意
2就算用来抓肉鸡，用文件重组也不会没有意义，因为它可以使文件混乱，变异方便
这只是试验阶段，我也没学加解密，但我知道加密后重组会大大降低侦测率，甚至让杀软连壳都不认识（不要告诉我杀软不认识壳有先进的虚拟机技术，照样可杀，您用kgb压一个病毒上vt看有几家能识别）

solcroft

原帖由 mofunzone 于 2008-2-2 17:52 发表
这个世界有多少人用readyboost这种无聊的技术的，还不如用nano
有想法，我看好你，未来的新型病毒，可惜的就是，大规模用来抓肉鸡显然是无意义的，做做蠕虫搞破坏还可能
p.s 就把文件切开了，特征码做的好的软件只 ...

写入注册表启动项指向病毒的每一个分块，每次重启电脑就在内存重组病毒
要更霸道的，加载入内存后学AV终结者恢复掉SSDT再来写入硬盘
嘿嘿，只要程序成功执行，接下来要干什么都行了...

FBAV

MicroVita AntiSpyware 100 C
_____________________________________________
                                          
             风暴微塔反间谍
[强力查杀各种Win32位的病毒,木马,蠕虫,恶意软件]                  
                   http://221.10.254.214/
----------------------------------------------
开始扫描……

正在检查启动……
[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.000]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:737e073df2d26dc3c1078b0898071274

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.002]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:c55c4b235071ec3b3ec8c19dcb16d893

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.003]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:d4d623f84fa3c409bff05f2c160cb840

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.005]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:3574f7d4b8e950d0fc5a5cf37d190ee3

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.037]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:13debf5bfb46396087d8225dee775815

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.062]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:b8684144c8756150a26052d5999cb9bb

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.069]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:cb20da055db460d94531dfebe11ea276

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.074]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:9fe5e1a59a0866a0846e21dea7d99952

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.132]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:d480de2fe662046285087043d5a5e94e

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.133]
                    …………发现Spy！报告:[1] Win32.Packer4
文件信息:  大小:3807  MD5:0fbbdaa49bf0393463b08216352d62e7

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.141]
                    …………发现Spy！报告:[2]
文件信息:  大小:3807  MD5:83ae639dd3a6d795b6a98d091616d5a6

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.152]
                    …………发现Spy！报告:[2]
文件信息:  大小:3806  MD5:5d3dd55ec6b3746b19eaa0cd662fc7c8

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.159]
                    …………发现Spy！报告:[2]
文件信息:  大小:3806  MD5:ca431995d11287624444474943224100

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.167]
                    …………发现Spy！报告:[2]
文件信息:  大小:3806  MD5:e3dfa9ad8da436ffe28f34e50a673d53

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.172]
                    …………发现Spy！报告:[2]
文件信息:  大小:3806  MD5:540aae0a8e29fedb3ceb57ac6df97ee1

[C:\Documents and Settings\Administrator\桌面\Virus\virus\graybird.178]
                    …………发现Spy！报告:[8] HOOK者
文件信息:  大小:3806  MD5:b4ba799c973f29eb8f05e5c491a585ac

文件数:204   病毒数:16  比重:0.07843137254902
OK  扫描完毕！
  ***日志解释
[4] 集中有害分析引擎
[3] 全局系统判断引擎   
[2] 文件特征码引擎
[1] 文件启发式引擎




Use YiYuYan!!!!!

[ 本帖最后由 FBAV 于 2008-2-2 16:45 编辑 ]

FBAV

MicroVita AntiSpyware 100 C
_____________________________________________
                                          
             风暴微塔反间谍
[强力查杀各种Win32位的病毒,木马,蠕虫,恶意软件]                  
                   http://221.10.254.214/
----------------------------------------------
开始扫描……
………………………………………………………………

文件数:3810   病毒数:128  比重:0.03359580052493
OK  扫描完毕！

  ***日志解释
[4] 集中有害分析引擎
[3] 全局系统判断引擎   
[2] 文件特征码引擎
[1] 文件启发式引擎

mofunzone

文件混乱和变异有什么关系？
你文件顺序1234映射到内存的也是5，你4321映射到内存的也是5
真正需要变异的是你切片前的样本，不然就像我说的，你没免杀成功，切成1w片，只要1片识别，统统完蛋
除非你使劲加壳，切片之后软件是没法识别壳了，也没法拖壳了，同样也造成了你没法对其中特定的一片免杀，而带壳入库的特征类似avast还可以识别
总体来说，我的意思就是，除非你是免杀好手，才会成功的用这个方法对抗查杀，特征码的改变并不是你切片就能消除的，不信你装avast，把这个文件切成10w，我相信avast还是能杀出来的，你这个方法并不足以做到反扫描，况且你就算10w过了未来也不会有病毒用这个技术，学过生物的都明白，dna pair越多的动物越容易灭绝，因为在repro的时候dna排列错误的可能性越高，你这个病毒相同，要求情况过于苛刻
如果你只是为了反病毒来研究这个，大可没有必要，不会有人用这个技术
况且能在切片前的第一步就免杀好的人，谁还会这么麻烦的做剩下的步骤。。

jimmyleo

觉得只要有一部分被k了 不就全完了...

还有就是这么多文件不利于传播...
多文件传输对于配置不好的电脑来说可能最简单的：无法响应...