楼主: B100D1E55
收起左侧

[分享] 绕过动态启发之Microsoft篇

  [复制链接]
驭龙
发表于 2017-2-9 13:25:19 | 显示全部楼层
B100D1E55 发表于 2017-2-9 13:05
你所说的很难,杀软的仿真引擎是与外界严格隔离的,自然也断网。。。当然嗅探的方法也有,早年某引擎仿真 ...

@540923555  

其实看VFS的缓存组件就可以了,如图


这技术已经用八九年了,一直没有超大更新和改进,当初是为Windows 7设计的,以助其分析更多的PE,这就是微软的VFS-虚拟文件系统。

可惜这么多年了,没有更新架构

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jefffire
头像被屏蔽
发表于 2017-2-9 13:40:43 | 显示全部楼层
本帖最后由 jefffire 于 2017-2-9 13:42 编辑

MSE 动态启发还匹配EICAR。。。
B100D1E55
 楼主| 发表于 2017-2-9 13:47:56 | 显示全部楼层
jefffire 发表于 2017-2-9 13:40
MSE 动态启发还匹配EICAR。。。

我的理解是只有ms对动态启发的释放文件额外做了静态特征匹配,其他引擎应该是纯behavioral model故不报毒
jefffire
头像被屏蔽
发表于 2017-2-9 14:07:58 | 显示全部楼层
本帖最后由 jefffire 于 2017-2-9 14:10 编辑
B100D1E55 发表于 2017-2-9 13:47
我的理解是只有ms对动态启发的释放文件额外做了静态特征匹配,其他引擎应该是纯behavioral model故不报毒


有道理。
试了试写了一个脚本 释放EICAR文本。MSE并没报毒。看来这个策略只影响PE

测试还发现SUPERAntiSpyware这家 简直瞎搞 删掉几个字符都报毒。。
绝对要嚣张
发表于 2017-2-9 16:40:17 | 显示全部楼层
看不懂系列
FUZE
发表于 2017-2-9 18:09:26 | 显示全部楼层
向卡EXE势力低头...
Miostartos
发表于 2017-2-9 19:44:36 | 显示全部楼层
进入看戏模式~
B100D1E55
 楼主| 发表于 2017-2-9 21:51:12 | 显示全部楼层
jefffire 发表于 2017-2-9 14:07
有道理。
试了试写了一个脚本 释放EICAR文本。MSE并没报毒。看来这个策略只影响PE

哈哈说明可以检测EICAR变种很多厂商不实际测一下误报都不知道他们做了什么恐怖的事,江民有一个downloader特征几乎是见啥报啥,包括hello world

评分

参与人数 1人气 +1 收起 理由
jefffire + 1 嘿嘿

查看全部评分

B100D1E55
 楼主| 发表于 2017-2-10 01:52:07 | 显示全部楼层
jefffire 发表于 2017-2-9 14:07
有道理。
试了试写了一个脚本 释放EICAR文本。MSE并没报毒。看来这个策略只影响PE

吐槽一下,微软引擎的内部用户名是固定的,刚才试着嗅探了一下
baonyx
发表于 2017-2-10 08:42:49 | 显示全部楼层
谢谢分享~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 23:14 , Processed in 0.119010 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表