AntiCAMAS 对抗COMODO在线分析小工具

Tron

看到不少人通过Comodo的CAMAS来分析病毒，其实这个东西非常容易被病毒欺骗， 只需要两行代码就可以躲避camas，让其无法识别病毒的任何行为，同时病毒又可以正常运行
工具见附件，只是个演示程序，当检测到不在camas内运行时，会弹出提示框表示运行环境正常， 如果在camas，则会立即退出，并在camas的报告内留下一行消息来证明检测成功
下载：
http://bbs.kafan.cn/forum-attachment-aid-MTEwOTEwNXw5NTJiNTAzYXwxMjk2OTc4OTAyfDUyNDQ1MQ%3D%3D.html

FreeEquFraT

Process Exited
System\CurrentControlSet\Services\RUNNING IN CAMAS , EXIT
第一次用在线检测只看到这些。
另外再请教一下楼主，有些东西会检测运行环境的，比如是否在虚拟机中运行，那这种东西要怎么设置让他侦测不到虚拟机呢？

Tron

FreeEquFraT 发表于 2011-2-6 16:01
Process Exited
System\CurrentControlSet\Services\RUNNING IN CAMAS , EXIT
第一次用在线检测只看到这些 ...

这就是这里说的：

如果在camas，则会立即退出，并在camas的报告内留下一行消息来证明检测成功

消息就是：RUNNING IN CAMAS, EXIT
对抗的意义就在于，病毒可以检测到camas并不显露其行为，使camas完全无法检测和分析它

FreeEquFraT

回复 3楼 Tron 的帖子

是这样啊，学习了。另外我问的那个检测运行环境的问题能不能也指点一下。

Tron

FreeEquFraT 发表于 2011-2-6 16:01
Process Exited
System\CurrentControlSet\Services\RUNNING IN CAMAS , EXIT
第一次用在线检测只看到这些 ...

虚拟机有太多破绽，除非对方接触不到，否则一定可以侦测到，即使接触不到， 如果使用一些公开的虚拟机比如vmware，vpc , vbox  , 也很容易检测

反侦测的方法一般只能对症下药比如跳过木马的侦测代码， 对一些已知的侦测手法（比如vmware后门， GDT检测法)做针对性防御

FreeEquFraT

回复 5楼 Tron 的帖子

比如有些壳是会检测运行环境的，你们碰到这类病毒是实机调试还是放到虚拟机里面调试的？如果是放到虚拟机调试，那你们对壳应该很了解吧，基本上强壳都不在话下吧。
另外我这个菜鸟顺便再请教一个问题，这个在线沙盘的原理我不清楚，不过你的这个东西好像是检测ComputerName的吧，如果这个在线沙盘换个和正常机子的ComputerName，你这个应该就不行了吧。

Tron

FreeEquFraT 发表于 2011-2-6 16:24
回复 5楼 Tron 的帖子

比如有些壳是会检测运行环境的，你们碰到这类病毒是实机调试还是放到虚拟机里面调试 ...

检测方法还有很多， 例如camas是利用vmware搭建的， 所以检测vmware就可以了
又如在每次运行病毒之前， camas会把vmware还原到一个sanpshot上，而此时sanpshot的时间是固定的某一天，避开这天就可以避开camas,方法很多了~

jordanpchome

也就是說能對抗CAMAS就不一定能對抗threatexpert?

1e3e

好厉害呀，学习了

Tron

jordanpchome 发表于 2011-2-6 18:44
也就是說能對抗CAMAS就不一定能對抗threatexpert?

这个只用来对抗camas,当然同样的方法任何在线分析沙盘都可以搞定，收集一下相关的破绽即可。