反云安全

derrick_goi

云安全？各位VXer一定恨之入骨吧？例如360的QVM。呵呵。现在我们谈谈如何反云安全。 既然要Anti Cloud Security，就要从执行入手。以360的QVM举例，客户端的可疑程序会被客户端“云”上服务器。服务器内部的虚拟执行环境——QVM便对程序进行虚拟执行，只要操作符合了判断规则，就把它写入病毒库。当然，对于比较高级或是有意思的样本，人肉QVM（“反病毒工程师”）就会上场研究。
VXK大牛曾经从上传的角度入手进行了突破。Debugman上面有他的源代码。代码在Ring3注册了过滤器，所以全部应用程序就被切断了网络连接，自然就云不上去了。
但是MJ0011随即对其进行了Fix。Anti Cloud Security 就失效了。最近在思考关于邪恶代码的内容，于是在上学的公交车爆出了灵感：从虚拟执行的角度突破QVM。而且理论上没有被封的可能。


原理很简单。虚拟机必定同真实的硬件特征有差异。那么可以从硬件特征的软件加密考虑。下面是具体做法。
1、Dropper从资源文件中找到未被加密的Virus。然后用cpuid这条指令获得CPU信息（有两个：eax和edx），然后分别以eax和edx的值对内存中的PE进行xor加密。
2、Dropper将内存中的Virus写入到硬盘。然后Dropper调用rundll32使Virus获得执行。瞧——Dropper只是读取了一个资源文件，然后创建了一个文件和进程，杀软不会认为这个是危险文件，从而云上去。
3、Virus在获得执行权以后，入口点的代码根据cpuid获得的CPU信息进行xor解密，然后直接跳转回OEP。
4、Virus正常执行，大量调用危险Api。杀软洋洋自得地把这个文件云到了服务器上，而……
5、Virus开开心心地被服务器的高启发执行，但是问题来了——不是一台机子，CPU不一样，cpuid获得的值不一样，解密后的代码完全是个废物——一个异常抛出，病毒在杀软的虚拟机里面异常退出——什么危险动作也没有留下。
6、“反病毒工程师”赶来了，想一睹病毒的尊容——Sorry！代码解密依赖硬件，换一台机子不论你怎么弄，它就是找不到解密的密钥！
7、一个病毒被云上去了N，但也存货了N次。

总结下：Dropper释放病毒并以硬件信息加密病毒，病毒以硬件信息解密，得以正常运行。Dropper的操作不危险，不会被云。Virus的操作很危险，但云上去没有用。
云安全，安全？

yujiakun

你确信过得了主防？

Lgwu

如此麻烦干什么，直接不用云的软件不就得了。

webuncle

都说出来了，肯定过不了mj

在水之滨

坏人与好人的不同：无论再怎么伪装，它总要做坏事。要不也不会被称为坏人了

leisong

反云只适合对付只有云扫描的杀软吧，云主防不是吃素的吧，所以才需要立体防御，立体防御的各个环节是相辅相成的，不是孤立作战的
你只反了立体防御中的一环有什么用？
怀疑楼主发错区了，应该去XX区发这个贴，不管楼主的方法是否真的可行，只有云的安软被破掉的方法若干，立体防御各个环节相互照应才是王道

久远寺有珠

云的主防不是吃素的

黑羽

主防表示依然会给力，扫描可以过过

-oAo-

derrick_goi 发表于 2011-1-3 18:02
云安全？各位VXer一定恨之入骨吧？例如360的QVM。呵呵。现在我们谈谈如何反云安全。 既然要Anti Cloud Secu ...

我用360卫士，都用微点禁止360网盾联网的

小紫英

QVM不跑虚拟机，楼主你白忙活了，而且你这类文件很新，和大部分白文件都不相似，QVM只能给你一个结果，杀！