微点的虚拟机技术

dongsheng01

杀毒的虚拟机 技术是怎么回事 
微点杀毒虚拟机技术很强么    看了介绍   满满的虚拟机 特点

悠柚

A版的时候有人做过测试，虚拟机是用来帮助脱壳的，虚拟机时间越长，就可以脱更复杂的壳，不过扫描时间也会加长一点

IllusionWing

杀软的虚拟机其实都很囧。。
仿真没那么简单。。。

lvseqiji

虚拟机脱壳~还有，动态启发。。。

悠柚

http://bbs.kafan.cn/viewthread.p ... %26amp%3Btypeid%3D6
这个是

benjamian

我是把微点的右键扫描里的虚拟机开到60秒最高了

angir

微点杀毒软件的虚拟机根据官方的介绍呢，确实很强大……
一般认为，大凡杀毒软件的虚拟机，都是以脱壳和进行动态启发分析为主要目的的……

saibanzhizun

不太懂，学习了

挥泪斩情思

原帖由 悠柚 于 2009-11-28 15:23 发表
http://bbs.kafan.cn/viewthread.php?tid=489269&extra=page%3D3%26amp%3Bfilter%3Dtype%26amp%3Btypeid%3D6
这个是

看了那个报告 微点的虚拟机技术确实不错

bugman

原帖由 悠柚 于 2009-11-28 15:16 发表
A版的时候有人做过测试，虚拟机是用来帮助脱壳的，虚拟机时间越长，就可以脱更复杂的壳，不过扫描时间也会加长一点

虚拟机跟脱壳根本就没有一丝一毫的关系。
所谓的虚拟机脱壳，只是个噱头罢了。他们所谓的虚拟机脱壳其实就是（举个例子）：
1.某病毒的特征码，定义为A
2.加壳后，改特征码被加密成B，A->B，这时候，用A的特征去扫加壳后的文件，杀软肯定是毫无反应的。
3.由于壳的特性为：首先运行外壳的shell,初始化壳段信息后，然后解压原程序代码，接着模拟WINOWS装载的过程，填充输入表等，DLL文件以及部分壳（比如OB等）还得处理重定位等，最后把程序的执行权归还给原程序
4.由3介绍的所知，当程序运行起来后，内存的数据已经被解密完毕了，也就是说，这时候内存中看到的数据已经不是B，而是A
5.所谓的虚拟机脱壳技术也就是运用上面说讲的原理，模拟CPU运行，使程序在虚拟机环境执行，以达到解密特征的过程
6.因此，此时扫描时，就能利用A特征来进行查杀了

上面说讲的就是本人理解的所谓虚拟机脱壳技术，如果这也算是种脱壳技术的话，那么，看雪和一蓑烟雨的牛人们都笑了。

再插一句，这种技术只争对传统的壳，而对关键代码进行VM处理的，以及加了NP（NoobyProtect）的壳是完全无效的，也就是说，你的虚拟机再强，模拟的能力再高，都是无效的。