现在的虚拟机脱壳技术 有技术含量吗？

cz88

如题   是不是技术也得到完美的进化了呢？

cz88

API级别的虚拟机脱壳技术

    通常虚拟机脱壳都是对指令进行模拟，使其可以通过虚拟机执行，这样便可以将常规的加密算法执行，从而使壳自身对自身进行解密；然而现在多数加密壳已经可以有效的对抗这种虚拟机方式，在指令间穿插Windows API，这样指令集虚拟机则有可能无法运行到壳的解密算法，被加密算数仍然无法得到解密。 API级别的虚拟则可以模拟部分Windows API，使得壳可以顺利跑完解密算法，将被解密的内存以明文方式交给查库引擎，实现单变种高查杀率。

    Ø　基于虚拟机的动态启发式技术

　通过虚拟机中可疑文件的调用关系检测，对程序性质进行识别，从而判断可疑文件是否属于病毒或者木马。

    Ø　基于虚拟机行为分析的嗅探式启发扫描技术

　利用虚拟机技术对可疑文件进行性质检测，对可疑文件进行大约性质识别，此后再对大约性质有针对性的进行细度识别，从而准确报警出文件的可疑程度。

    Ø　基于虚拟机的多态病毒清除技术

　对病毒的多态加密算法通过虚拟机进行解密，针对各类感染方式使用简单的清除规则对被感染文件进行高效率清除。

    Ø　基于病毒免杀特性的对抗技术

　对可疑文件的性质进行模糊识别，提取其重要特性，并结合虚拟机启发式技术，准确识别病毒文件，使病毒无法有效免杀。

    Ø　系统核心文件寄生类木马清除/修复技术

　针对当前病毒发展趋势使用的特殊解决方案，可以有效的清除被诸如机器狗等木马感染的系统文件，达到不对系统原功能破坏且清除病毒的目的。

暗_黑

发这里干嘛

cz88

暗_黑 发表于 2020-2-17 14:46
发这里干嘛

怀念怀念缉毒卫队

电脑发烧友

cz88 发表于 2020-2-17 14:48
怀念怀念缉毒卫队

啊哈？吓得我赶紧看了一眼team列表，卫队还在啊。

Fire_Wind

API模拟很容易被识破的，系统的API这么多，不可能完全模拟，人家随便调用一个冷门的函数就把你识破了。

www-tekeze

国内火绒微点都有这种技术，火绒称其为“通用脱壳”，还有各类云沙箱，技术含量高低当然就是看虚拟机仿真程度的高低。。。从发展看，应该说跟不上病毒反调试技术的脚步，而且还得为性能等做出妥协。。。so，本地引擎带虚拟机技术的并不多，从趋势看云及云沙箱才是未来。

风之暇想

会加壳就行

翼风Fly

cz88 发表于 2020-2-17 14:48
怀念怀念缉毒卫队

感谢关注，抱歉让诸位失望了。
卫队版区倒是还在，只不过是只有卫队成员才能访问而已。

回过头来说一点题主的问题，我现在已经不关注这些了，而且水平有限，我就不虾扯蛋了。
一个具体的例子:
http://down4.huorong.cn/doc/technology/cobra.pdf

“有技术含量”与否是不太好界定的，因人而异，但至少不能说没含量...做一套合适的的脱壳不是随便搞一下就行。
从2楼的一堆合并起来的介绍来看，我也有一种担心，楼主可能误会了脱壳、行为沙盒等的关系（虽然都可以用“虚拟机”这个词作开头）。脱壳的方式有很多，虚拟机脱壳只是其中之一；以及，启发&行为沙盒这些是分析病毒的方法，和脱壳不是一回事 —— 虽然都可以用“虚拟机”这种方式去搞。