查看: 5817|回复: 4
收起左侧

[原创工具] 杀软反病毒特征名脱库

[复制链接]
Jerry.Lin
发表于 2021-10-22 12:03:50 | 显示全部楼层 |阅读模式
本帖最后由 Jerry.Lin 于 2021-10-21 22:10 编辑

Github 传送门

反病毒特征名 dump
Antivirus Detection Dump

基本思路
1. 使用 procdump dump杀软进程内存
2. 使用 strings 提取字符串,Regex匹配|区域搜索
3. 分类并排序导出为CSV

遇到的问题
1. PPL 保护 (已解决,使用PPLKiller)

目前支持的杀软:
火绒
扫描引擎特征名,恶意行为监控特征名(ADV)

卡巴斯基
扫描引擎特征名,PDM(SW)特征名

Malwarebytes
扫描引擎特征名,DDS 特征名

使用方法
对应子文件夹内分别存放提取出的CSV文件

提供1个PS脚本供自行导出
1. 下载 Sysinternals 并加入PATH, 或从应用商店安装
2. 使用 PPLKiller 关闭PPL对杀软进程的保护,否则无法dump内存
3. 关闭自我保护(见列表)
4. 运行
  1. powershell -executionpolicy bypass -File .\AV_DUMP.ps1 $Name
复制代码

名称PPL是否需要关闭自保特征来源准确度
火绒NONOBASEHigh
卡巴斯基YESYESBASE, PDMMedium
MalwarebytesYESNOBASE, DDSHigh




一些有意思的发现

火绒ADV侦测少的可怜;特征名带有!submit 猜测是做遥测用的隐藏侦测,目前库中数量大概有800条。

卡巴的PDM远没有表面看起来这么简单(一个侦测名PDM:Trojan.Win32.Generic打遍天下)

事实上PDM有数千条不同的特征,涵盖单步和多步的侦测,其中还有slient 的隐藏侦测,不得不说非常全面。

Malwarebytes 的PUP特征占了近半

Snipaste_2021-10-21_22-58-33.png Snipaste_2021-10-21_22-59-09.png Snipaste_2021-10-21_22-56-59.png





后续要做的

1. 更完善的Regex (会写正则的欢迎contribute)
2. 更多杀软


*ESET 别想了,看到内存里好多混淆的字符串,不知道是不是因为ESET的库是编译出来的,可能得详细逆向(不会

评分

参与人数 4分享 +3 人气 +12 收起 理由
企稳向好 + 3 版区有你更精彩: )
yfdyh000 + 3 版区有你更精彩: )
swizzer + 3 版区有你更精彩: )
屁颠屁颠 + 3 + 3 版区有你更精彩: )

查看全部评分

wajika
发表于 2021-10-28 10:31:39 | 显示全部楼层
什么意思,就是从内存里 把 所有病毒名称取出来?
ytysh
发表于 2021-10-28 10:55:59 | 显示全部楼层
建议楼主去厂商工作
swizzer
发表于 2021-11-14 17:48:31 | 显示全部楼层
本帖最后由 swizzer 于 2021-11-14 17:51 编辑

希望后续能支持Norton(SONAR)
wwwab
发表于 2021-11-14 18:08:29 | 显示全部楼层
swizzer 发表于 2021-11-14 17:48
希望后续能支持Norton(SONAR)

那个玄学的东西可是个大功夫
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 02:35 , Processed in 0.141244 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表