AntiCAMAS 对抗COMODO在线分析小工具

Tron

qqq123123 发表于 2011-2-7 13:12
回复 23楼 Tron 的帖子

可以说下思路么？具体实现可能比较麻烦吧？···既然这样了，是否存在利用规 ...

不存在

eubyo

Tron 发表于 2011-2-7 10:20
这些HIPS都非常容易攻破，尤其是软件本身漏洞。

即使设置不能运行任何程序，也可以轻易攻破

不可能，都不能运行了还怎么攻破

jefffire

Tron 发表于 2011-2-6 15:55
看到不少人通过Comodo的CAMAS来分析病毒，其实这个东西非常容易被病毒欺骗， 只需要两行代码就可以躲避cama ...

其实对于高手什么都挡不住的，只要能挡住占绝大部分的只会复制黏贴抄抄代码，写写脚本的那些作者对一般人用就够了了。

Tron

eubyo 发表于 2011-2-7 21:21
不可能，都不能运行了还怎么攻破

不能运行程序不代表不能运行代码

qqq123123

回复 34楼 Tron 的帖子

代码以何种形式存在？

星空下的吻

回复 1楼 Tron 的帖子

想问问病毒对杀毒引擎的anti又是怎么实现的啊??

eubyo

Tron 发表于 2011-2-7 22:35
不能运行程序不代表不能运行代码

分三种情况：
如果是本地，不能运行程序就是不能运行代码
如果是挂马，一般是针对IE，理论上Firefox也有可能，但实际上还没遇到过
如果是远程溢出攻击，先要确定有什么漏洞，一般来说打全补丁和端口隐藏就可以防了

eubyo

忘了说了还有一种情况，本地打开文件也可能运行代码，不过这个前提是存在漏洞，打全补丁的前提下这个概率是很小的，而且我可以在虚拟机中打开

hujiwa

回复 32楼 eubyo 的帖子

我猜是规则不能运行≠效果=100不能运行
呀没注意mj回复你了。

当我白水了一帖，

MagicFuzzX

回复 36楼 星空下的吻 的帖子

你指的是杀毒引擎的emulator（虚拟机）吧，那些模拟器肯定不能完整模拟完整的windows API的。比如，有些函数会在实机中执行失败的，但是在emulator中返回的却是成功，这样就可以通过执行一小段测试代码，看返回值来判断是否在emulator里面，是的话就退出自身。
还有，像卡巴以前版本的emulator里面并不是通过explorer进程启动病毒的，这时就可以通过对比病毒自身进程的父进程和explorer进程的PID来判断，后来版本的卡巴即使将病毒父进程模拟为explorer，但是还是可以通过检测explorer本身进程和explorer父进程的ID，如果相同，则为反病毒软件自己模拟了explorer检查病毒。
如果病毒在来个动态调用关键API，HASH下关键字符串，反病毒引擎的虚拟机，启发扫描等神马都是浮云了