本菜鸟对微点自主开发的扫描引擎的原理的推测

ly250094040

微点的扫描引擎肯定不是传统意义上的，传统模式的扫描引擎有必要开发吗？

微点现在唯一明显的缺憾就是运行后不能截拦的病毒。

但是不运行它微点是无法诊断的，所以需要扫描引擎去排除。

所以个人估计这个引擎应该是以动态启发为主的引擎，或许有少量的特征码技术。

这个启发引擎的作用应该是找出能超过微点危险行为定义而又能饶过微点截拦和恢复

灾难的病毒，然后采取对行为判断引擎的弥补（自动加定义？上报？）。

这启发检测和虚拟机中的行为截拦才是真正的主动防御。



本菜鸟个人估计微点的扫描引擎不是传统的针对病毒的检测，而是比对病毒行为然后

完善主动防御引擎的一个助手，也就是微点主动防御引擎的漏洞扫描器。


另外，看到那帖子说到脱壳那些。。。。

他把微点扫描的引擎模式定位错了才会这么说

微点主动防御是不需要脱壳技术的

都是等病毒脱完了自己送上来

遇到脱不下来被衣服裹死了的毒毒？

呵呵

拜拜，不送。

个人愚见，纯属菜鸟学飞，有得罪处还望各位高手见谅和指点^_^

wangjay1980

很喜欢分析啊

浪客

不错的分析

ALEXBLAIR

不错的分析，之前本版区也有相关的讨论，都说到一起去了，希望这种原创讨论越来越多。
打算之后对于有创意的原创贴享受10分待遇！
其他的帖子1分一个，优秀讨论2分一个。
微点在自己的官方中的描述中就说明了这是一款行为分析为主，使用少量特征码作为辅助的工具。准确性高很多，但是需要一定的背景知识来判断。
还是很有潜力的。
微点的引擎主要是表现行为和楼主分析的差不多，就是还有很多技术细节，例如虚拟特征码的问题，
还记得之前的熊猫在虚拟机里乖的和猫一样么？ 如果病毒或者其他程序能够发现自己在虚拟环境下运行，就可以不运行，直接等到环境适合了再活动。
当然还可以衍生到检察系统APIHOOK或SOCKER提供者的情况来分析是否有杀毒软件，是什么杀毒软件，使用对应方法绕过。当然，目前还是很少发现有这样能力的病毒和木马，之前在巴基斯坦的某个论坛中有过这样的DEMO，不过仅仅局限于跳提示框显示使用的杀毒软件和自动清除杀毒软件的APIHOOK和SOCKER邦定 （也提供了恢复按钮。 ）

jlennon

推测的很有道理，LZ的钻研精神不错。

ly250094040

啊？？这观点已经有人说过了？

偶还以为是第一个发此帖的人呢

咳~~

其实偶觉得微点的自动判断还应该完善，现在误报比较多。发现未知木马时候最好加个“可能是，稍有可能是，极有可能是”几个字。也可以干脆加2个模式。一个完全自动判断模式，就像现在一样，一个半自动模式，给出建议。一个完全手动模式，就完全是带虚拟技的HIPS了。这样适合各种水平的用户。呵呵


APIHOOK或SOCKER技术你有什么看法呢？我自己觉得即使有APIHOOK或SOCKER扫描功能的病毒要过杀软也不容易，除非自己做个文件系统。。。。代价太大了。。。

至于你说的虚拟特征码的问题，你有什么看法呢
呵呵




不过总的来说还有一种可能：我们都高估微点了

想念天堂

希望快点发布就好了。现在还在配其他的杀软一起用

ALEXBLAIR

其实你注意看日志的话就会发现一个很简单的道理，

      任何软件要监控，肯定会拦截windows的通讯，也就是说，瑞新用钩子，卡巴用api监听其实道理都是一样的，但是api的拦截方式都是各有不同，也就是说，只要截获api断点的切点，就可以判断大致是什么软件在拦截。

      简单的说：

     没有拦截前：a<-->windows

     拦截后：a<--->b<--->windows

      其中的b可能是安全软件，也可能是木马。

      但是，拦截后要转向，就是安全软件的门牌号是固定的。

      只要知道门牌号，就知道主人是谁了。
      具体可以自己搜集一下，在虚拟机里装卡巴/蜘蛛/咖啡然后分别扫描一个日志，在socker/api两个项目中就有他们的门牌号码。 而且，api/socker枚举的api一般安全软件是不列在监测范围内的，你可以看看卡巴主动防御全开的情况下，对于扫描日志的操作不提示的。ssm除外，不过一般也不列为危险提示。
      如果要绕开杀毒软件的监控还有一个就是进程名字，同样的，单纯枚举进程名字也不是危险范围。一样可以让任何安全软件闭嘴。然后再根据作者的定义，针对性的卸载api/socker
      在某些windows未公开的api中，有几个可以动态卸载底层的驱动，具体可以参考相关的文章（不过很难找，公开的基本无效，建议去论坛或者直接看msdn。）

ly250094040

学习了

不过杀软的APIHOOK方式不见得是固定的吧，那样容易被破，如果真是固定的，那多杀

软对控制权的抢夺的现象应该就不存在了，大家彼此认识嘛，都是一家

要知道是什么杀软难就难在这吧？

另外，知道是什么杀软的方法很多啊，这个方法弄不好就被干掉了，好像不太好。

如果知道是什么杀软在工作，如何卸掉杀软的APIHOOK呢？

另外你说的进程名可以过杀软？是什么原理呢？利用杀软不监控的API？

T_Tmac

学习中