探讨贝壳木马专杀采用何种识别方式

hshell

刚刚会员级别不够，不能发帖，现在成为了见习会员，庆祝一下我的处女贴。
验证贝壳木马专杀是采取何种杀毒方式
本人看到坛子里有人发帖说贝壳木马专杀是采用MD5的方式，故在此亲自测试
样本采用样本区随机下载的文件“qvod.rar”

先用新版本的贝壳木马专杀，查一下电脑。

应该不带毒，并且关闭了NOD32

将病毒放入系统文件夹下面

然后查毒，发现病毒

下面将要用到一个很厉害的工具，fastcoll_v1.0.0.5.exe，这个能将某个程序，从新生成两个相同MD5但Hash不同的文件。


生成完毕
下面将新生成的两个文件qvod1.exe和qvod2.exe还有原有的qvod.exe放入系统文件夹下。
下面重新杀毒：

不出所料，只能检测出qvod.exe
下面是这三个文件的MD5信息和Hash信息


过一会后，在重新杀毒，发现现在新的两个文件也可以杀了

基于上面的判断，可以猜测如下结论，贝壳可能使用Hash来判断病毒文件，而不是MD5,应为两个MD5相同的病毒未被识别为同一病毒，可以看最后一张截图上病毒名字的命名。欢迎讨论。

hshell

另外我2004年的时候自己也做过一个贝壳之家论坛，也是关于杀毒的，不过06年倒闭了。不知道和我有什么联系，呵呵。

[ 本帖最后由 hshell 于 2009-7-28 23:47 编辑 ]

Johnkay.Young

有深度，作为学习挺不错的。

qwe12301

不错

这个我告诉你的确不是基于MD5的

应该是hash之类的

参考这个

http://bbs.beike.cn/thread-215-1-2.html

[ 本帖最后由 qwe12301 于 2009-7-28 23:52 编辑 ]

hshell

恩，是的。MD5应该被攻破了。可能也运用了其他的识别方法。
本来想用某个病毒的MD5值，构造一个不同文件但是与这个病毒文件相同的MD5值。不过并没有公开这个工具，否则说服力更强哦。

迷惘依然

呵呵，反正都是为了快速省时的辨别不同的文件罢了，改变一个字节MD5啥的全都改变了，
只不过MD5常听而Hash不常听，利用MD5或者Hash值的病毒库当然是非常小的。还有这个
工具只是将一个文件然后再生成2个MD5一样的文件，但是这两个文件却和病毒的MD5值是
不一样的，所以没有多大意义。。。


另外这个贝壳的所谓的处理速度实在不怎么样，可以说贝壳的服务器只不过是一个加强版的金山毒霸，
只是对服务器能够扫描出来的进行快速推送给客户端，而对其它的新变种反应速度是很慢的，我昨天
传送一个正常的贝壳报未知文件，现在依然是未知的状态，真是非常好笑，可想而知这个所谓的速度
是忽悠人的东西。。。。。。。。。




[ 本帖最后由 迷惘依然 于 2009-7-29 03:04 编辑 ]

雨夜狂风

学习了

1e3e

那它并不可靠吧？

hshell

利用碰撞后，是在程序的末尾加上一些代码，所以肯定和原来的不一样了~
但是之后两个相同MD5的文件被识别为不同的病毒，因为从最后一张图中可以看出。所以起码至少证明了贝克杀毒不是用MD5来识别的。退一步讲，至少不是单一依靠MD5识别。
看来金山的云系统依然需要完善。
贝克木马专杀可以用于辅助杀毒来杀已知的病毒。

[ 本帖最后由 hshell 于 2009-7-29 08:40 编辑 ]

挪威的冬天

互联网的文件识别/认证就是依靠 HASH 的

除此之外难道各位还能想出什么好办法么?

利用 HASH 作一对一的匹配查杀是贝壳客户端的选择

依靠这类匹配方法的查杀, 形成威力的根本就在于快速响应和海量文件库容

金山毒霸的云安全在做法上和其他厂商 比如瑞星是一样的

上报 --- 自动分析 --- 提特征 --- 测试 --- 发布

现时所谓的云安全实际上也就是将旧有的传统流程实现了半自动化或者接近全自动化处理

在现有网络条件的限制下想做到将服务器的运算能力拉近到桌面端是不可能的