查看: 33831|回复: 54
收起左侧

[分享] 初步评测火绒杀毒

  [复制链接]
gongmo
发表于 2017-2-28 11:23:13 | 显示全部楼层 |阅读模式
本帖最后由 gongmo 于 2017-2-28 17:25 编辑

本测试在断网情况下验证。测试的病毒种类并不多,测试了两个。

主要通过静态扫描去检测的。所以不能以偏概全,不是全面的评测火绒。

再者,无意冒犯火绒,也不会去做病毒。

火绒病毒库头部格式如下:

对应如下:


通过header可见,火绒在减小软件体积的同时,病毒库数量并不多。

header解密后格式如下:


在火绒3.x年代,有处代码写的相对不严谨,虽然在4.x时代已经修改了。这处代码在libxsse.dll解压病毒库的函数中。
如下:malloc后直接去使用了,而没有验证申请的内存是否成功……


针对conficker病毒测评,发现:


从病毒库和索引中,发现火绒命中的特征:





修改3处字符串的大小写,并不会影响代码执行。下图右侧是修改后的字符串。
当然,如果特征码在API上,是不能够修改的哇。 静态扫描的方式,大家都懂哇,不排除模拟cpu执行指令的程序。
类似于:We gave a presentation on Unicorn engine at the BlackHat USA 2015 security conference. The talk went well, and we got nice feedbacks from the audience.
链接网址:https://www.blackhat.com/us-15/b ... -emulator-framework
这个工具最新有1.0版本了……

扯远了- -




不再报毒。


病毒库pset和prop对应规则:

下图是pset库。以conficker病毒为例:
pset库中共4条索引,满足其中3跳则可以报毒。


下图是prop病毒库。用来匹配特征码的地方。其中第一条索引对应如下内容:




再拿一个病毒举例,这里用的火绒3.x杀毒(4.x效果是一样的)

这次命中的全部在API名称上,如下:
共4条特征:
特征1:67 65 74 52 61 6E 64 6F 6D 49 50   
特征2:63 6F 6D 6D 53 65 72 76 65 72   
特征3:73 65 6E 64 4A 55 4E 4B
特征4:73 63 61 6E 50 69 64

当然这里就不能随意修改了……毕竟修改了API肯定不能运行哇。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7分享 +3 人气 +6 收起 理由
月影天心 + 1 技术帝
驭龙 + 1 版区有你更精彩: )
聆听落雨 + 1 原创内容
1670338677 + 1 版区有你更精彩: )
屁颠屁颠 + 3 版区有你更精彩: )

查看全部评分

WEI.ER
发表于 2017-2-28 11:35:52 | 显示全部楼层
火绒杀毒能力本身也就只能排二线,单纯测试一款综合型软件的某一项只能证明某一项的强弱,希望LZ在测评最后或者开头就用直白的语言描述你的测试以及相关结果,否则会引起很多小白的以讹传讹。

测试项目没问题,静态扫描,希望以后增加更多的测试项目,比如动态测试以及其他全方面的测试。

评分

参与人数 1人气 +1 收起 理由
生命在于运动 + 1 很给力!

查看全部评分

vm001
发表于 2017-2-28 12:19:39 | 显示全部楼层
针对性免杀
。。。。
到处闲逛
发表于 2017-2-28 12:45:00 | 显示全部楼层
要是能有一个全面的评测就好了
我是路人甲
发表于 2017-2-28 12:46:52 | 显示全部楼层
支持楼主,这个分析还是很到位的
ysj963
发表于 2017-2-28 13:16:18 | 显示全部楼层
ESET的特征应对有多复杂?
gongmo
 楼主| 发表于 2017-2-28 14:48:35 | 显示全部楼层
WEI.ER 发表于 2017-2-28 11:35
火绒杀毒能力本身也就只能排二线,单纯测试一款综合型软件的某一项只能证明某一项的强弱,希望LZ在测评最后 ...

对~~ 这只是 从一个很小的方面测试的 火绒,只能证明一丢丢的小问题而已。
gongmo
 楼主| 发表于 2017-2-28 14:48:58 | 显示全部楼层
ysj963 发表于 2017-2-28 13:16
ESET的特征应对有多复杂?

没验证过。不知道哇
vm001
发表于 2017-2-28 14:53:36 | 显示全部楼层
才发现有人把楼主的帖子给反馈到火绒论坛了
楼主能证实一下这个回复不。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
XZ8SM7Sx0bVkoUV
发表于 2017-2-28 14:56:11 | 显示全部楼层
vm001 发表于 2017-2-28 14:53
才发现有人把楼主的帖子给反馈到火绒论坛了
楼主能证实一下这个回复不。

评分

参与人数 1经验 -2 收起 理由
屁颠屁颠 -2 抱歉,纯表情回复

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-4 17:09 , Processed in 0.137489 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表