[原创]多态性vs 云查杀-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]多态性vs 云查杀

发表于: 2010-8-18 23:49 12092

[原创]多态性vs 云查杀

学习cpp

2010-8-18 23:49

12092

多态性vs 云查杀

云查杀的基本原理是根据文件内容，通过某种算法计算文件唯一的函数值，以这个函数值（hash值）作为文件的唯一标志，与数据库中的记录进行比较来确定文件可信度。
我们看一下norton power erase的其中一条扫描记录
- <File ID="2">
- <File_Information>
<Path>F:\RemindBook3\RemindBook.exe</Path>
<FileVersion>3.1.7.37</FileVersion>
<ProductVersion>3.0</ProductVersion>
<ProductName>RemindBook</ProductName>
<Company>SnowFoxStudio.</Company>
<Copyrights>Copyright(c)1998,2004 SnowFox Studio.</Copyrights>
<MD5>273EB45D415A8E380EF5DD4E7BDBA82B</MD5>
<SHA256>AB5F3ECDED67879472417B285B929FEE36F528D2049ACEE1651484C864EE6668</SHA256>
<FileSize>6097408bytes</FileSize>
</File_Information>
- <SideEffects Count="1">
<File>F:\RemindBook3\RemindBook.exe</File>
</SideEffects>
</File>

可以看出所谓云查杀就是把
1计算出能确定文件的唯一的函数值（hash值），为了确保唯一性尽量计算几种值
如果是md5 则能却分256^16个文件 sha256能区分 256^32个文件,文件大小(DWORD 4个字节)区分为256^4个
2网络通信与数据库中的记录比较

可见如果文件的大小，或者内容发生变化，则会造成唯一的函数值变化，如果不在数据库里，就不会被判断成病毒，只是可疑

多态性指程序可以在运行时改变自身，或者存储代码表现不同，但基本功能性能一致。由于可执行文件文件结构为

而可行性文件可通过
1.
简单修改dos stub 或者Ntheader的位置

2.
文件末尾增加随机数
3.
增加修改区段
来变更代码，而不影响功能性能

可能使用到的Api有
GetModuleFile
CreateFile
CtreatFileMapping、
Cmd.exe
/c xxxx
MoveFileEx

下面一个例子是file.exe 被云查杀判断为病毒，可是只要随意修改其dos stub 胡乱填写数据就行

file.rar

2010.8.18 23:32 上传下载 (240 KB)

增加一个附件
file2.rar

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.gif （16.16kb，567次下载）
2.jpg （226.88kb，568次下载）
file.rar （109.47kb，11次下载）
file2.rar （164.30kb，31次下载）

收藏・3

免费・7

支持

最新回复 (22)
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 2 楼楼主说的可能针对云查杀可行，但是一般的杀软都不一定都是仅仅以云查杀方式去判断病毒文件的。还有其他的引擎辅助。 2010-8-19 00:30 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 3 楼 lz说的这个只是目前的一种辅助手段，优点是速度快识别范围广，但准确率不行。如果仅仅以这个作为依据，那未免太草率了 2010-8-19 01:08 0
XPoy 雪币： 242 活跃值： (473) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 4 楼实际做起来更有效而且一样简单的可以随便填充执行不到的花指令 2010-8-19 02:00 0
watercb 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	watercb 5 楼能在详细一点就好了，云查杀将来比较有前途啦 2010-8-19 09:00 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 6 楼还是看好主动防御！ 2010-8-19 09:15 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 7 楼 LZ说的有点意思,但是如果一个程序都被云去了,完完是早晚的事而已, 也许...... 2010-8-19 09:31 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 8 楼三码合一还草率？ 2010-8-19 13:41 0
ANight 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	ANight 9 楼确实很多公司都在用云查杀但并不是唯一手段还有更精确的但速度也不慢的 2010-8-19 13:53 0
majinxin 雪币： 163 活跃值： (75) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	majinxin 10 楼这应该只是云杀里的一小部分吧，云查杀是个概念，可以无限扩展的~~~~ 2010-8-19 15:33 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 11 楼这种东西只是暂时性的我个人感觉云查杀不仅仅是对整个文件进行hash判断也同时对文件可疑部分进行判断楼主这样不一定能够顺利通过只能是偶尔通过而已 2010-8-19 16:01 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 12 楼这种方法我早试过，效果一般对付现在市面上的那些云查杀其实有更好的方法 2010-8-20 01:25 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 13 楼这是在变相讨论特征码和启发吗 2010-8-20 17:05 0
qqwr 雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	qqwr 14 楼病毒木马都已经进入云计算了云安全到底是什么样的安全呢？ 2010-8-20 17:21 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 15 楼 lz看问题太孤立了 2010-8-20 17:31 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 16 楼过不了文件查杀啊，还没运行起来，怎么去修改 2010-8-20 19:18 0
xuwedo2003 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	xuwedo2003 17 楼 "如果是md5 则能却分16^256个文件 sha256能区分 32^256个文件,文件大小(DWORD)区分为8^256个" md5 能区分2^128个文件. sha256 能区分2^256个文件. 文件大小(DWORD)(如果DWORD为32bit)区分为2^32个文件. 2010-8-20 21:34 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 18 楼呵呵，你试试目前所有的云查杀，看看结果就知道了。 2010-8-21 06:22 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 19 楼 2010-8-21 08:57 0
学习cpp 雪币： 264 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 7 粉丝 1 关注私信	学习cpp 1 20 楼我错了你是对的或者以字节个数为指数 md5 256^16 sha256 256^32 文件大小(DWORD)(如果DWORD为32bit) 256^4 2010-8-21 09:04 0
lovesh 雪币： 258 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	lovesh 21 楼云没这么简单至少金山的没这么简单 2010-8-23 10:50 0
VC菜鸟雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	VC菜鸟 22 楼应该是云查杀先上，如果没问题再使用其他手段进一步分析，如果云查杀都发现问题了，那么一定就有问题了 2010-8-24 11:38 0
cxcxs 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 77 粉丝 0 关注私信	cxcxs 23 楼其实多态性不是什么暗组早都已经公布了确实能导致云查杀失效 2010-8-24 14:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

学习cpp

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
huzhao 雪币： 388 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 124 粉丝 0 关注私信	huzhao 2 楼楼主说的可能针对云查杀可行，但是一般的杀软都不一定都是仅仅以云查杀方式去判断病毒文件的。还有其他的引擎辅助。 2010-8-19 00:30 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 3 楼 lz说的这个只是目前的一种辅助手段，优点是速度快识别范围广，但准确率不行。如果仅仅以这个作为依据，那未免太草率了 2010-8-19 01:08 0
XPoy 雪币： 242 活跃值： (473) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 4 楼实际做起来更有效而且一样简单的可以随便填充执行不到的花指令 2010-8-19 02:00 0
watercb 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	watercb 5 楼能在详细一点就好了，云查杀将来比较有前途啦 2010-8-19 09:00 0
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 21 回帖 240 粉丝 11 关注私信	dragonltx 6 6 楼还是看好主动防御！ 2010-8-19 09:15 0
meijingogo 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	meijingogo 7 楼 LZ说的有点意思,但是如果一个程序都被云去了,完完是早晚的事而已, 也许...... 2010-8-19 09:31 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 8 楼三码合一还草率？ 2010-8-19 13:41 0
ANight 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 75 粉丝 1 关注私信	ANight 9 楼确实很多公司都在用云查杀但并不是唯一手段还有更精确的但速度也不慢的 2010-8-19 13:53 0
majinxin 雪币： 163 活跃值： (75) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	majinxin 10 楼这应该只是云杀里的一小部分吧，云查杀是个概念，可以无限扩展的~~~~ 2010-8-19 15:33 0
Greater 雪币： 13 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 230 粉丝 0 关注私信	Greater 11 楼这种东西只是暂时性的我个人感觉云查杀不仅仅是对整个文件进行hash判断也同时对文件可疑部分进行判断楼主这样不一定能够顺利通过只能是偶尔通过而已 2010-8-19 16:01 0
SupRole 雪币： 148 活跃值： (59) 能力值： ( LV3，RANK：30 ) 在线值：发帖 14 回帖 118 粉丝 3 关注私信	SupRole 12 楼这种方法我早试过，效果一般对付现在市面上的那些云查杀其实有更好的方法 2010-8-20 01:25 0
jasonzhou 雪币： 213 活跃值： (147) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 289 粉丝 1 关注私信	jasonzhou 13 楼这是在变相讨论特征码和启发吗 2010-8-20 17:05 0
qqwr 雪币： 97 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 36 粉丝 0 关注私信	qqwr 14 楼病毒木马都已经进入云计算了云安全到底是什么样的安全呢？ 2010-8-20 17:21 0
雪妖雪币： 266 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 168 粉丝 0 关注私信	雪妖 15 楼 lz看问题太孤立了 2010-8-20 17:31 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 16 楼过不了文件查杀啊，还没运行起来，怎么去修改 2010-8-20 19:18 0
xuwedo2003 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	xuwedo2003 17 楼 "如果是md5 则能却分16^256个文件 sha256能区分 32^256个文件,文件大小(DWORD)区分为8^256个" md5 能区分2^128个文件. sha256 能区分2^256个文件. 文件大小(DWORD)(如果DWORD为32bit)区分为2^32个文件. 2010-8-20 21:34 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 18 楼呵呵，你试试目前所有的云查杀，看看结果就知道了。 2010-8-21 06:22 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 19 楼 2010-8-21 08:57 0
学习cpp 雪币： 264 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 7 粉丝 1 关注私信	学习cpp 1 20 楼我错了你是对的或者以字节个数为指数 md5 256^16 sha256 256^32 文件大小(DWORD)(如果DWORD为32bit) 256^4 2010-8-21 09:04 0
lovesh 雪币： 258 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	lovesh 21 楼云没这么简单至少金山的没这么简单 2010-8-23 10:50 0
VC菜鸟雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	VC菜鸟 22 楼应该是云查杀先上，如果没问题再使用其他手段进一步分析，如果云查杀都发现问题了，那么一定就有问题了 2010-8-24 11:38 0
cxcxs 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 77 粉丝 0 关注私信	cxcxs 23 楼其实多态性不是什么暗组早都已经公布了确实能导致云查杀失效 2010-8-24 14:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复