[求助]关于文件型漏洞的特征提取-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 2 楼光靠扫描文件的二进制，个人觉得不太可能，不管是捆绑的，还是下载执行的，无非就是检测SHELLCODE是否存在，我觉得还是监视动态执行才好。。。。 2009-11-19 13:48 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 3 楼那我们常用的一些杀毒软件是如何检测文件型的病毒的呢？不可能扫描的时候一个一个得把文件装入内存，然后去检查是否包含SHELLCODE吧。这样一个场景，比如EXE的PE头里的SizeOfImage和该PE文件包含的所有Section的大小不相等，我们判定为一个病毒，这个东西是应该需要去解析PE头的。但是比如一个DOC文件，如果解析的时候发现其中一个有具体意义的值超过了微软规定的范围，那么这个DOC可以认定为畸形DOC，有可能造成攻击。我的问题就是，如果不去解析这种文件，能不能有某个检测方法，直接对二进制流扫描一遍就可以得知这种文件类型是否是畸形的？对于平常的文件免杀，原理不是将杀毒软件提取的特征变化一下来躲过杀毒软件的查杀吗？也就是说可能杀毒软件还是进行了特征的提取，静态特征的提取！有没有做过相关东东的前辈指点一二啊？比较迷茫。。。 2009-11-19 19:11 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 4 楼我也没做过文件免杀或杀毒软件相关的病毒查杀，但是据我的经验，不是所有的畸形文件，杀毒软件都能杀掉的，杀毒软件可能是基于SHELLCODE的特征码这样的技术吧。。。。。猜测而已 2009-11-20 07:41 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 5 楼对于这种一般的杀软都是特征码，很多都定在shellcode上，高级点的就按文件格式定到造成溢出的位置上，杀毒和免杀基本就是一个往复的过程，可以说是没有过不了的杀软。取决于杀软的研究深入程度和查杀技巧上 2009-11-20 08:51 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 6 楼看来我想的太理想化了，防病毒墙（硬件加软件）这东西检测的时候难道是自己有处理了。防病毒墙是不是基于网络流量来检测病毒的啊？ 2009-11-20 09:13 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 7 楼这个东西我也没做过，不过弄过一点蠕虫的检测，有一些算法，那个是基于流量的分析。。。 2009-11-20 10:54 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 8 楼流量里的特征检测吗？还是流量的统计分析啊？ 2009-11-20 11:37 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 9 楼大概思路是：先排除P2P的包，然后分析数据包特征，归类等。。。。更多涉及数据挖掘的一些算法，聚类。对齐。统计。。。。 2009-11-20 14:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 2 楼光靠扫描文件的二进制，个人觉得不太可能，不管是捆绑的，还是下载执行的，无非就是检测SHELLCODE是否存在，我觉得还是监视动态执行才好。。。。 2009-11-19 13:48 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 3 楼那我们常用的一些杀毒软件是如何检测文件型的病毒的呢？不可能扫描的时候一个一个得把文件装入内存，然后去检查是否包含SHELLCODE吧。这样一个场景，比如EXE的PE头里的SizeOfImage和该PE文件包含的所有Section的大小不相等，我们判定为一个病毒，这个东西是应该需要去解析PE头的。但是比如一个DOC文件，如果解析的时候发现其中一个有具体意义的值超过了微软规定的范围，那么这个DOC可以认定为畸形DOC，有可能造成攻击。我的问题就是，如果不去解析这种文件，能不能有某个检测方法，直接对二进制流扫描一遍就可以得知这种文件类型是否是畸形的？对于平常的文件免杀，原理不是将杀毒软件提取的特征变化一下来躲过杀毒软件的查杀吗？也就是说可能杀毒软件还是进行了特征的提取，静态特征的提取！有没有做过相关东东的前辈指点一二啊？比较迷茫。。。 2009-11-19 19:11 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 4 楼我也没做过文件免杀或杀毒软件相关的病毒查杀，但是据我的经验，不是所有的畸形文件，杀毒软件都能杀掉的，杀毒软件可能是基于SHELLCODE的特征码这样的技术吧。。。。。猜测而已 2009-11-20 07:41 0
snowdbg 雪币： 3171 活跃值： (76) 能力值： (RANK：250 ) 在线值：发帖 13 回帖 129 粉丝 2 关注私信	snowdbg 6 5 楼对于这种一般的杀软都是特征码，很多都定在shellcode上，高级点的就按文件格式定到造成溢出的位置上，杀毒和免杀基本就是一个往复的过程，可以说是没有过不了的杀软。取决于杀软的研究深入程度和查杀技巧上 2009-11-20 08:51 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 6 楼看来我想的太理想化了，防病毒墙（硬件加软件）这东西检测的时候难道是自己有处理了。防病毒墙是不是基于网络流量来检测病毒的啊？ 2009-11-20 09:13 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 7 楼这个东西我也没做过，不过弄过一点蠕虫的检测，有一些算法，那个是基于流量的分析。。。 2009-11-20 10:54 0
wangshutai 雪币： 250 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	wangshutai 8 楼流量里的特征检测吗？还是流量的统计分析啊？ 2009-11-20 11:37 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 9 楼大概思路是：先排除P2P的包，然后分析数据包特征，归类等。。。。更多涉及数据挖掘的一些算法，聚类。对齐。统计。。。。 2009-11-20 14:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于文件型漏洞的特征提取 0.00雪花