能力值:
( LV4,RANK:50 )
|
-
-
2 楼
光靠扫描文件的二进制,个人觉得不太可能,不管是捆绑的,还是下载执行的,无非就是检测SHELLCODE是否存在,我觉得还是监视动态执行才好。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
那我们常用的一些杀毒软件是如何检测文件型的病毒的呢?不可能扫描的时候一个一个得把文件装入内存,然后去检查是否包含SHELLCODE吧。
这样一个场景,比如EXE的PE头里的SizeOfImage和该PE文件包含的所有Section的大小不相等,我们判定为一个病毒,这个东西是应该需要去解析PE头的。
但是比如一个DOC文件,如果解析的时候发现其中一个有具体意义的值超过了微软规定的范围,那么这个DOC可以认定为畸形DOC,有可能造成攻击。
我的问题就是,如果不去解析这种文件,能不能有某个检测方法,直接对二进制流扫描一遍就可以得知这种文件类型是否是畸形的?
对于平常的文件免杀,原理不是将杀毒软件提取的特征变化一下来躲过杀毒软件的查杀吗?也就是说可能杀毒软件还是进行了特征的提取,静态特征的提取!
有没有做过相关东东的前辈指点一二啊?比较迷茫。。。
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
我也没做过文件免杀或杀毒软件相关的病毒查杀,但是据我的经验,不是所有的畸形文件,杀毒软件都能杀掉的,杀毒软件可能是基于SHELLCODE的特征码这样的技术吧。。。。。猜测而已
|
能力值:
(RANK:250 )
|
-
-
5 楼
对于这种一般的杀软都是特征码,很多都定在shellcode上,高级点的就按文件格式定到造成溢出的位置上,杀毒和免杀基本就是一个往复的过程,可以说是没有过不了的杀软。
取决于杀软的研究深入程度和查杀技巧上
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
看来我想的太理想化了,防病毒墙(硬件加软件)这东西检测的时候难道是自己有处理了。
防病毒墙是不是基于网络流量来检测病毒的啊?
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
这个东西我也没做过,不过弄过一点蠕虫的检测,有一些算法,那个是基于流量的分析。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
流量里的特征检测吗?
还是流量的统计分析啊?
|
能力值:
( LV4,RANK:50 )
|
-
-
9 楼
大概思路是:先排除P2P的包,然后分析数据包特征,归类等。。。。
更多涉及数据挖掘的一些算法,聚类。对齐。统计。。。。
|
|
|