网马

天下无毒

原帖由 mofunzone 于 2007-3-25 16:40 发表

你只是什么都不明白而已，说实在，我和solcroft一早就猜到你那个无聊测试的结果会很搞笑的。。

请问这位大虾您在说啥？能给在下说说不？

s67249662

还想问一下mofunzone，结构分析和动静态脱壳有什么本质上的区别

mofunzone

实际上如果antivir真的纯报壳，我们还省心了，说真的现在有几个样本不加壳的。。
使劲上报antivir就是为了让病毒库有更多特征码，方便在结构判断的时候查杀病毒，而且雨伞也会定期更新gen，也就是一定的病毒通用特征码和结构分析特征
后果就是，每次更新引擎解决一些误报，新增一群误报
nod的引擎升级就是为了第二步的真正代码分析启发，我记得2月份一次升级之后nod判unknown PE-virus的几率大增，所以我用了几天的nod，不过测试结果就是还是不尽如人意，所以又改成了雨伞。。
对于中国病毒来说，除了疯狂更新，没什么更好的办法，等nod一个星期把壳脱掉了，更新了，人家早就变出n个不同的了，总有几个你杀不了的。。

mofunzone

原帖由 s67249662 于 2007-3-25 00:45 发表
还想问一下mofunzone，结构分析和动静态脱壳有什么本质上的区别

目的不同，结构分析是为了判断文件是不是有可疑结构的，而不管动态静态脱壳，目的都是为了排除壳文件来进行内部代码扫描。。
而静态脱壳，就是传统的算法脱壳了，好处是托克率高，缺点是浪费cpu，如果壳更新算法，需要从新更新算法
动态脱壳，目前主要就两种，一个是内存中映射来脱壳，类似金山毒霸的数据流（不知有效否），另外就是虚拟机，类似nod，优点是不用着急更新算法，不会误报，缺点是成功率相对静态较低，而且也会浪费cpu

solcroft

动态脱壳还有两种？我一直以为是把档案在内存里脱壳后直接把代码dump到硬盘上扫描的...

mofunzone

原帖由 solcroft 于 2007-3-25 00:56 发表
动态脱壳还有两种？我一直以为是把档案在内存里脱壳后直接把代码dump到硬盘上扫描的...  

这个我也不大清楚了就，我也不知道虚拟机和金山所谓的数据流有什么区别，但是方法是相同，都是在内存加载，至于之后做了什么，不知道

The EQs

脱壳主要有两种方法：硬脱壳和动态脱壳。 第一种，是硬脱壳，这是指找出加壳软件的加壳算法，写出逆向算法，就像压缩和解压缩一样。由于，目前很多“壳”均带有加密、变形的特点，每次加壳生成的代码都不一样。硬脱壳对此无能为力，但由于它比较容易实现，在技术名词上也容易混淆用户的视听，所以多被杀毒软件采用。

　　目前，有一种脱壳方式是抓取(Dump)内存中的镜像，再重构成标准的执行文件。相比硬脱壳方法，这种脱壳方法对自行加密、变形的壳处理效果更好，使得加壳程序会在运行时自行脱掉“马甲”，因而叫做动态脱壳。

　　而最新流行的技术是“虚拟机脱壳引擎(VUE)技术”。给病毒构建一个仿真环境，诱骗病毒自己脱掉“马甲”，最重要的是“虚拟环境”和用户的计算机隔离，病毒在虚拟机的操作不会对用户计算机有任何影响。这种技术已经成为近年来全球安全业界公认的、解决这一问题的最有效利器，现在非常火的杀毒软件McAfee的防毒能力为什么出色，基本上全是虚拟脱壳技术的功劳。

solcroft

原帖由 mofunzone 于 2007-3-25 16:58 发表
这个我也不大清楚了就，我也不知道虚拟机和金山所谓的数据流有什么区别，但是方法是相同，都是在内存加载，至于之后做了什么，不知道

被加壳档案只会在执行时把自己在内存里脱壳，所以原来硬盘上和被注入内存的代码是不一样的。据我所知，一般杀软的动态脱壳是看准了进程的memory space后映射到硬盘上再扫描... 不过我对这个也不是很清楚...

CL7

好深奥丫

promised

砖板很飞区。。。。。。。。