bitsCN.com 　　最近在研究病毒的檢測(cè)技術(shù)，雖然在這個(gè)木馬、流氓件猖獗的年代，檢測(cè)技術(shù)(除了考慮效率因素外)已經(jīng)變得不是十分重要了。但俺仍然出于興趣想從這里面尋找些思路。或許對(duì)抗技術(shù)的本身并不在于誰(shuí)徹底打敗了誰(shuí)，而在于彼此間共同進(jìn)步。在查閱資料中發(fā)現(xiàn)了這篇文章(Anti heuristic techniques author:Black Jack )，雖然是比較古老的，但還是可以從中獲得很多新的思路。翻譯的比較粗糙，如有不正確或不準(zhǔn)確的地方還望大家指正，后面我會(huì)繼續(xù)談些對(duì)抗仿真技術(shù)的策略。譯文如下：
　　簡(jiǎn)介
　　在早些年的日子里，殺毒軟件通過(guò)對(duì)病毒的特征碼搜索是完全可以檢測(cè)出病毒的。但隨著病毒數(shù)量的快速增漲，反病毒研究人員發(fā)明了一些啟發(fā)式的病毒檢測(cè)方法，并把它應(yīng)用到工作中。代碼仿真的啟發(fā)式掃描器會(huì)像虛擬機(jī)一樣運(yùn)行程序的代碼，并在此環(huán)境下檢測(cè)程序是否具有病毒的相似行為。
　　所以在理論上，這樣的啟發(fā)式掃描可以發(fā)現(xiàn)任何一種新的病毒。但僅僅是理論上，因?yàn)榇a仿真不可能達(dá)到對(duì)真實(shí)CUP的100%模擬，所以該技術(shù)并不能毫無(wú)遺漏的檢測(cè)出每一個(gè)病毒。由此可見(jiàn)，在VX社區(qū)中，尋找啟發(fā)式引擎的缺陷和利用它們就成了我們的目標(biāo)和責(zé)任。我所要談的就是如何利用不同的手段欺騙并愚弄這些啟發(fā)式引擎，使我們最新創(chuàng)造的那些無(wú)形的邪惡的程序不被啟發(fā)式引擎所找到及清除。
　　這是我認(rèn)為在病毒的編程領(lǐng)域里最有趣的事情(因?yàn)槭冀K是有一種偉大的感覺(jué)，那就是你比你的敵人更聰明; -) ).以下是我在過(guò)去的日子里關(guān)于這方面的研究成果。
　　了解你的對(duì)手
　　如果你想研究Anti heuristic技術(shù)，第一件事就是你需要一個(gè)具有啟發(fā)式功能的掃描器來(lái)檢測(cè)你編寫(xiě)的創(chuàng)作(virus),我建議你盡量多的找些這樣的掃描器。因?yàn)槊恳粏l(fā)式的掃描器都有自己的強(qiáng)項(xiàng)及弱點(diǎn)。我給你一個(gè)簡(jiǎn)單的掃描器列表，我將使用這些來(lái)進(jìn)行測(cè)試。
　　.Thunderbyte Antivirus (在早期，這被認(rèn)為是最好的掃描器了，但現(xiàn)在，在vxer的眼中它已經(jīng)被認(rèn)是很一般的了，至少在"啟發(fā)式檢測(cè)"(其實(shí)僅是特定的字符串描)方面如此。但在其它方面它附帶了很多實(shí)用的掃描器(checksummer, cleaner, memory resident utilities...)。順便說(shuō)一下，每個(gè)人都會(huì)有自己喜歡的不同版本，我建議您使用7.xx這一版本。因?yàn)檫@個(gè)版本可以讓您制定您自己的掃描方式，這一點(diǎn)很重要，如果你自己不小心感染了自己的機(jī)器。
　　.F-prot 這個(gè)是不算太壞的，雖然還有很多更好的。有趣的是，比起現(xiàn)在最后的一個(gè)版本在啟發(fā)式方面有了更好的改進(jìn)。所有我建議您使用V2.2.8版或像我一樣使用V2.2.7版來(lái)測(cè)試你的病毒。另外有趣的特點(diǎn)是這款掃描器，支持使用可疑掃描的命令行參數(shù)方式執(zhí)行。如果您使用它，將進(jìn)入一個(gè)智能的掃描模式。基于這樣的原因，你知道開(kāi)啟可疑檢測(cè)模式并不是必需的，如果你這樣做了，你會(huì)知道你的anti-heuristic 技術(shù)實(shí)在是太好用了。
　　.AVP :在我認(rèn)為最好的啟發(fā)式掃描器當(dāng)中，確實(shí)是難于欺騙的一個(gè)。我是用的版本是version 3.0 build 128
　　.NOD : 像AVP一樣的優(yōu)秀。
　　.Dr. Web: 這也是非常好的啟發(fā)式掃描器，那些俄羅斯人知道如何取得更好的Anti Virus效果。
　　.Dr Solomon's :從我一個(gè)在NAI工作的一個(gè)朋友那里知道，這是一款中高質(zhì)量的掃描器，但它的效果仍優(yōu)于mcafee。
　　.Ikarus Antivirus :一個(gè)中等品質(zhì)的掃描器，我使用它，是出于愛(ài)國(guó)的原因。
　　重要的思路
　　我的所有欺騙手段，都是基于同樣的思路的：那就是病毒是加密的，我們要在掃描器能解密出病毒體前停止仿真代碼的執(zhí)行，或者在掃描過(guò)程中隱藏我們的加密密鑰。如果你仍然沒(méi)有使用加密的方式，密鑰隱藏手段也是可以使用的，在“加密”的調(diào)用方式中(例如，int 21h 中斷的值bitsCN.com

聲明：本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí)，若有侵權(quán)等問(wèn)題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com