楼主: B100D1E55
收起左侧

[技术原创] 嗅探Microsoft的病毒扫描引擎

  [复制链接]
驭龙
发表于 2017-2-10 11:40:06 | 显示全部楼层

查看WD反病毒引擎的串符就可以了,超级简单


其中蓝框的是特殊启发分析,与其他启发报法不同。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
月影天心
发表于 2017-2-10 11:40:17 | 显示全部楼层
本帖最后由 月影天心 于 2017-2-10 11:55 编辑
B100D1E55 发表于 2017-2-10 11:34
不知道“够用”是什么概念。在我看来日常连cerber之流都防不了的难以称作“够用”,而win10一众安全技术 ...


“够用”,就是在日常使用电脑过程中,基本满足安全需求。
确实,cerber变种更新很快,问题是你日常使用电脑过程中,第一时间就能中新生的变种?其实对于绝大多数第三方杀软而言,应对频繁变种也是难题和巨大挑战,很多都要靠云、靠拉黑,现实往往是,我们日常工作生活中遇到的绝大多数病毒都是靠特征发现的,注意是正常使用电脑,而不是频逛毒区、频试样本,大多数情况下,你在正常使用电脑过程中中的毒,在当前云时代,我敢说几乎都已经入库了,即便运气爆表被0day利用或者被人社工搞了个新样本,估计很多情况下也被拉黑了,还轮不到主防什么事
不要说WD功能残缺,也不要说WD既有引擎技术多么多么局限,微软不可能把WD发展成为功能齐全的世界级杀软品牌,WD永远都是定位于保障基础安全的Basic protection,在Creators Update里,新的WD安全中心里,微软也只是整合了Win10下的各类安全功能,并没有为WD增加额外的新功能,只是在已有引擎技术的基础上不断完善改进,其实近年来微软受制于WD的定位,还是做了很多努力,引擎架构的改良、特征的优化、拉黑大法也好,动静态启发也好,新的UI整合也好,WD的定位不会改变,现在是这样,将来依然如此
B100D1E55
 楼主| 发表于 2017-2-10 11:44:08 | 显示全部楼层
驭龙 发表于 2017-2-10 11:40
查看WD反病毒引擎的串符就可以了,超级简单

我怎么看……都觉得这只是放报毒名的文件啊,并不代表EICAR特征就内嵌在引擎而不是库里。而且单独把EICAR放引擎也没有意义吧
B100D1E55
 楼主| 发表于 2017-2-10 11:48:55 | 显示全部楼层
月影天心 发表于 2017-2-10 11:40
“够用”,就是在日常使用电脑过程中,基本满足安全需求。
确实,cerber变种更新很快,问题是你日常使 ...

当然能啊……你没见过那种指向新变种的动态网页么,靠入库根本堵不住。反过来,就卡饭样本区里都一堆miss了……卡饭分享的样本大多都是已经被捕获的,早就有时差了
其实没什么好争的,我这篇只是客观说明WD这方面做得太糙,并没有兴趣怂恿别人该用什么防护软件,说实话这种东西自己觉得安全觉得高兴就好
驭龙
发表于 2017-2-10 11:50:00 | 显示全部楼层
B100D1E55 发表于 2017-2-10 11:44
我怎么看……都觉得这只是放报毒名的文件啊,并不代表EICAR特征就内嵌在引擎而不是库里。而且单独把EICAR ...

是这样的,WD特征库中并不是没有EICAR,而是进行特殊分类,与引擎中的EICAR遥相呼应

正因为WD把EICAR的部分存储在引擎中,所以它的检测与其他不同。

而其他很多安软的反病毒引擎中并没有类似WD的设计
B100D1E55
 楼主| 发表于 2017-2-10 11:51:32 | 显示全部楼层
驭龙 发表于 2017-2-10 11:50
是这样的,WD特征库中并不是没有EICAR,而是进行特殊分类,与引擎中的EICAR遥相呼应

正因为WD把EICAR ...

其实你这个观点找个shellcode内嵌一下就能验证了,没必要猜……只不过找合适的需要点时间,有空再搞
驭龙
发表于 2017-2-10 11:54:23 | 显示全部楼层
B100D1E55 发表于 2017-2-10 11:51
其实你这个观点找个shellcode内嵌一下就能验证了,没必要猜……只不过找合适的需要点时间,有空再搞

我很懒,所以没有学写代码,哈

当然,期待你后续的测试。

另外我没有别的意思,别介意哦,跟你聊的很开心,现在在卡饭已经很少有这样的好帖了
B100D1E55
 楼主| 发表于 2017-2-10 11:57:09 | 显示全部楼层
驭龙 发表于 2017-2-10 11:54
我很懒,所以没有学写代码,哈

当然,期待你后续的测试。

并不介意,我觉得你提出来的这点还是很值得测试的,有空会求证一下。
无理取闹的质疑我会提前用脑内高启发过滤掉的
驭龙
发表于 2017-2-10 12:01:04 | 显示全部楼层
B100D1E55 发表于 2017-2-10 11:57
并不介意,我觉得你提出来的这点还是很值得测试的,有空会求证一下。
无理取闹的质疑我会提前用脑内高启 ...

那就好,这样的讨论,真的是久违了,很期待继续跟你探讨安全软件技术,我也是业余的,大家相互学习。

这个是WD特征库定义中对EICAR特征的报法,分的非常细

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
月影天心
发表于 2017-2-10 12:04:23 | 显示全部楼层
驭龙 发表于 2017-2-10 12:01
那就好,这样的讨论,真的是久违了,很期待继续跟你探讨安全软件技术,我也是业余的,大家相互学习。

...

这个从哪里看的?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:39 , Processed in 0.115631 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表