清毒测试

post8

C:\Users\ms\Desktop\ZoomIt.exe Worm.Generic.70137 Deleted              BD FAIL

bugman

原帖由 黑衣~魂 于 2009-9-3 16:06 发表
演算法也算技術問題吧....
很多廠商的引擎就算能寫演算法能解的病毒也不多。
各位認為可以寫演算法解毒的廠商為何不寫？ 引擎是個問題或者根本寫不出良好的演算法

那些廠商假使你舉報他們也不會修復或寫演算法的 ...

UPX0,UPX1感染是什么？
UPX加壳后，程序的区段名会更改成UPX0和UPX1，其他的区段会跟着合并。
其次，写通用的感染修复引擎可以说是难度相当大的，也是不现实的。性价比太高，跟写通用的脱壳引擎一样。
因此，一般的感染修复一般的都是厂商得到感染后的样本，单独编码而成。
当然，同类感染都有模板。
举个最简单的感染的例子（实例就是killav，感染后生成节.hhqg）：
加节感染，也就是在正常的文件后，加一个区段，而该区段包含着病毒代码，执行完病毒体代码后，跳回原始入口点执行。
这种感染，修复的思路是：
1.计算原来的入口地址，然后修改入口点地址为原始的地址
2.抹掉新加的区段信息
3.清除新加区段的数据
4.修正镜像大小(SizeOfImage)
当然有个大前提，感染过程中没有对原始的代码进行任何的改动，包括加密等等。
再来看下些通用修复的可能。
事实上，就算这类最简单的感染修复，写通用修复也是不是太容易的。
分析一下：
上面所提到的修复4点，后面3点做到通用的是很容易的，难点在于原始入口地址的获取。
因为不同的感染，存放入口地址的偏移不同。再说的具体点就是，病毒体的代码的长度不同，造成跳向原始入口代码的偏移的相对不同。
当然可能通过用引擎猜来实现。比如搜索特征代码。
举例：
一般跳向原始入口代码的形式有（假设原始入口为0x00401000）：
1.最简单的直接跳：JMP 00401000

2.push 00401000
   retn

3.mov eax,00401000
   jmp eax

4.mov eax,00401000
   call eax

5.push 00401000
   pop eax
   jmp eax

6.push 00401000
   pop eax
   call eax

......

实在太多了，枚举都枚举不全。
就算是jmp xxxxxxxx的形式，也很难保证病毒代码中不存在jmp xxxxxxxx的代码。因为这种搜索也是很费力的。

这也仅仅是最简单的感染方式。
还有，熊猫烧香的把原始文件档附加数据存放（不过可以直接提取附加数据修复），BMW也把原始文件放病毒体代码后（但不能直接提取附加数据当修复）等
更有多态类病毒，比如鼎鼎大名的virut等等。
这些都不是可以写引擎可以自动识别的。有些多态的感染，人为的分析并提通用修复代码都有点困难，更别提程序来完成了。

综上所述，写通用的修复感染引擎是不现实的。也就是说，对未知的感染病毒，想通过所谓的自动识别来修复，是几乎不能的。所以别指望一个杀软可以修复它们没拿到样本特征的感染病毒或者根本就没工程师去写的感染病毒。
但是，对于某类感染写模板代码，然后加入不同的特征，生成新的修复代码，则是非常简单实现的。
比如刚才说的加节感染。可以这么写：
//判断特征

if(.hhqg感染)
   tmp=1;
if(.bs感染)
tmp=2;
.....
if()
   tmp=xx;


switch(tmp)
{
   case 1:
     特征相对入口偏移量=0x100;
    break;

case 2:
     特征相对入口偏移量=0x200;
    break;

case 3:
     特征相对入口偏移量=0x300;
    break;

.......
}


//下面就是上述说的2，3，4点的修复代码了

这样的模板写成后，以后只要添加不能的特征代码，然后赋值偏移量，基本上1钟1个专杀。

小乔美子

诺顿2010 无法修复 直接删除了

kunkun520

还是卡巴斯基。最相信的也是卡巴斯基。