[原创]百度雪狼引擎逆向分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]百度雪狼引擎逆向分析

发表于: 2014-11-27 21:49 47897

[原创]百度雪狼引擎逆向分析

monkeycz

2014-11-27 21:49

47897

查看主题内容

收藏・58

免费・3

支持

最新回复 (117) ◀ 1 2 3 4 5 ▶
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 51 楼好厉害。。 2014-11-28 13:11 0
君君寒雪币： 6092 活跃值： (689) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 52 楼百度杀毒只要有足够的用户和足够的样本足够的时间，也是会超过360的。 2014-11-28 13:22 0
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 53 楼加精吧。。。。。。。。。。 2014-11-28 14:27 0
zhczf 雪币： 10993 活跃值： (17489) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 401 粉丝 0 关注私信	zhczf 54 楼楼主把百度杀毒跟360杀毒对比，没有意义，要找就找ESET或卡巴斯基这种顶级的杀毒软件做个对比 2014-11-28 14:28 0
PornU 雪币： 53 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 50 粉丝 0 关注私信	PornU 55 楼楼主v587！ 2014-11-28 15:46 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 56 楼楼主霸气，，，估计有茶喝了... 2014-11-29 08:48 0
yjd 雪币： 2882 活跃值： (1262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 57 楼原帖在这，bf那转的没图片呵呵。 2014-11-29 09:33 0
痕无天雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 189 粉丝 0 关注私信	痕无天 58 楼什么是数字杀毒啊 2014-11-29 09:35 0
yjd 雪币： 2882 活跃值： (1262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 59 楼所以中国现在都成这样了。产品如何无所谓，只要营销给力。黑的能说成白的。 2014-11-29 09:37 0
yypEx 雪币： 459 活跃值： (166) 能力值： ( LV9，RANK：165 ) 在线值：发帖 16 回帖 72 粉丝 2 关注私信	yypEx 60 楼楼主厉害！向来还是比较相信百度的，也希望百度能加油吧，毕竟也是刚到这一领域。 2014-11-29 09:41 0
ravenhu 雪币： 49 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	ravenhu 61 楼强！~~~~ 2014-11-29 10:00 0
易大师雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	易大师 62 楼对百度真心无语了，好好的做搜索引擎这一很有前途的职业不好，非要去跟大数字争 2014-11-29 12:50 0
FinderBoy 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	FinderBoy 63 楼干的漂亮 2014-11-29 12:55 0
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 167 粉丝 2 关注私信	grusirna 1 64 楼太硬了```` 2014-11-29 13:50 0
china 雪币： 3638 活跃值： (4187) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 65 楼膜拜猴子哥，ECE不更新了啊 2014-11-29 14:04 0
JadyS 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	JadyS 66 楼其实不分析也知道是什么东西（当然事实胜于雄辩），现在的互联网公司越来越大，人数越来越多，部门越来越烦杂，一般来说，他们只是说这一类产品我必须有一款（至少），比如杀毒啊，安全啊，网盘啊，电商啊。至于做出来的东西怎么样，完全不管。可以说，绝大部分，都是垃圾，而且宣传的人，根本不是这一领域的，完全不懂，瞎写，瞎吹，再请点五毛来捧捧，看着累。 2014-11-30 11:13 0
iiksp 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	iiksp 67 楼最近也逆了一遍百度杀毒，结果基本和楼主一致。 #那个多模匹配算法叫WM算法。 #逆到走特征脚本的时候简单看了几条指令，发现都是匹配字符串。另外还有几条是递归用的，当时猜测是走一个树形结构的指令流，不过看着有点复杂就没跟下去了，反正递归出口都是字符串匹配，没什么新花样，然后在这里看到楼主的分析得以验证我的猜测。 #关于指令流类型的特征匹配方式我在NOD32里也见到过，虽然百度杀毒这边做得没有这么复杂，但也算是得其精髓，只要做好库，调整好指令，还是能有一片天的。NOD32的指令流特点在于它对脚本做了简单的词法分析，保存的是变量名hash，同时特征脚本会实现一些变量压栈等操作，于是变量名的变形不会影响查杀，可以应对一些简单的变形和加密。 #特征库这种东西要靠积累，一个新杀软，特别是自己的引擎，要辅以自己的库和规则，是需要一定的时间积淀的……多点宽容^_^~ 2014-11-30 11:20 0
tomtory 雪币： 11067 活跃值： (3029) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 144 粉丝 1 关注私信	tomtory 68 楼猴哥好久不玩易语言了 2014-11-30 11:24 0
DuoLaMMeng 雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	DuoLaMMeng 69 楼火爆~~ 2014-11-30 11:41 0
小目雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	小目 70 楼果然是牛掰，赞！ 2014-11-30 12:27 0
kutsuki 雪币： 6793 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	kutsuki 71 楼哎，又出来一个*** 2014-11-30 13:17 0
xzchina 雪币： 615 活跃值： (1192) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 72 楼咳咳，知乎那边点过来的。。 2014-11-30 20:18 0
ioiojy 雪币： 143 活跃值： (1250) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	ioiojy 73 楼逆向分析百度杀毒，方法是不是将DLL文件拖进IDA中慢慢分析呢？还是有其它的办法？ 2014-11-30 21:47 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 74 楼膜拜前辈。。。果然厉害啊 2014-11-30 21:57 0
stanford 雪币： 192 活跃值： (186) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 45 粉丝 2 关注私信	stanford 75 楼好产品是需要打磨的，刚出道就放卫星放成这样，百度确实不该。小厂耍流氓会做大，大厂耍流氓会作死。 2014-12-1 08:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

monkeycz

发帖

552

回帖

460

RANK

关注

私信

他的文章

[原创]百度雪狼引擎逆向分析 47897

关于我们

联系我们

企业服务

看雪公众号

最新回复 (117) ◀ 1 2 3 4 5 ▶
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 51 楼好厉害。。 2014-11-28 13:11 0
君君寒雪币： 6092 活跃值： (689) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 52 楼百度杀毒只要有足够的用户和足够的样本足够的时间，也是会超过360的。 2014-11-28 13:22 0
guxing罗雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 128 粉丝 0 关注私信	guxing罗 53 楼加精吧。。。。。。。。。。 2014-11-28 14:27 0
zhczf 雪币： 10993 活跃值： (17489) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 401 粉丝 0 关注私信	zhczf 54 楼楼主把百度杀毒跟360杀毒对比，没有意义，要找就找ESET或卡巴斯基这种顶级的杀毒软件做个对比 2014-11-28 14:28 0
PornU 雪币： 53 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 50 粉丝 0 关注私信	PornU 55 楼楼主v587！ 2014-11-28 15:46 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 56 楼楼主霸气，，，估计有茶喝了... 2014-11-29 08:48 0
yjd 雪币： 2882 活跃值： (1262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 57 楼原帖在这，bf那转的没图片呵呵。 2014-11-29 09:33 0
痕无天雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 189 粉丝 0 关注私信	痕无天 58 楼什么是数字杀毒啊 2014-11-29 09:35 0
yjd 雪币： 2882 活跃值： (1262) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 59 楼所以中国现在都成这样了。产品如何无所谓，只要营销给力。黑的能说成白的。 2014-11-29 09:37 0
yypEx 雪币： 459 活跃值： (166) 能力值： ( LV9，RANK：165 ) 在线值：发帖 16 回帖 72 粉丝 2 关注私信	yypEx 60 楼楼主厉害！向来还是比较相信百度的，也希望百度能加油吧，毕竟也是刚到这一领域。 2014-11-29 09:41 0
ravenhu 雪币： 49 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	ravenhu 61 楼强！~~~~ 2014-11-29 10:00 0
易大师雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	易大师 62 楼对百度真心无语了，好好的做搜索引擎这一很有前途的职业不好，非要去跟大数字争 2014-11-29 12:50 0
FinderBoy 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	FinderBoy 63 楼干的漂亮 2014-11-29 12:55 0
grusirna 雪币： 85 活跃值： (51) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 167 粉丝 2 关注私信	grusirna 1 64 楼太硬了```` 2014-11-29 13:50 0
china 雪币： 3638 活跃值： (4187) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1984 粉丝 9 关注私信	china 5 65 楼膜拜猴子哥，ECE不更新了啊 2014-11-29 14:04 0
JadyS 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	JadyS 66 楼其实不分析也知道是什么东西（当然事实胜于雄辩），现在的互联网公司越来越大，人数越来越多，部门越来越烦杂，一般来说，他们只是说这一类产品我必须有一款（至少），比如杀毒啊，安全啊，网盘啊，电商啊。至于做出来的东西怎么样，完全不管。可以说，绝大部分，都是垃圾，而且宣传的人，根本不是这一领域的，完全不懂，瞎写，瞎吹，再请点五毛来捧捧，看着累。 2014-11-30 11:13 0
iiksp 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	iiksp 67 楼最近也逆了一遍百度杀毒，结果基本和楼主一致。 #那个多模匹配算法叫WM算法。 #逆到走特征脚本的时候简单看了几条指令，发现都是匹配字符串。另外还有几条是递归用的，当时猜测是走一个树形结构的指令流，不过看着有点复杂就没跟下去了，反正递归出口都是字符串匹配，没什么新花样，然后在这里看到楼主的分析得以验证我的猜测。 #关于指令流类型的特征匹配方式我在NOD32里也见到过，虽然百度杀毒这边做得没有这么复杂，但也算是得其精髓，只要做好库，调整好指令，还是能有一片天的。NOD32的指令流特点在于它对脚本做了简单的词法分析，保存的是变量名hash，同时特征脚本会实现一些变量压栈等操作，于是变量名的变形不会影响查杀，可以应对一些简单的变形和加密。 #特征库这种东西要靠积累，一个新杀软，特别是自己的引擎，要辅以自己的库和规则，是需要一定的时间积淀的……多点宽容^_^~ 2014-11-30 11:20 0
tomtory 雪币： 11067 活跃值： (3029) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 144 粉丝 1 关注私信	tomtory 68 楼猴哥好久不玩易语言了 2014-11-30 11:24 0
DuoLaMMeng 雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	DuoLaMMeng 69 楼火爆~~ 2014-11-30 11:41 0
小目雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	小目 70 楼果然是牛掰，赞！ 2014-11-30 12:27 0
kutsuki 雪币： 6793 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	kutsuki 71 楼哎，又出来一个*** 2014-11-30 13:17 0
xzchina 雪币： 615 活跃值： (1192) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 72 楼咳咳，知乎那边点过来的。。 2014-11-30 20:18 0
ioiojy 雪币： 143 活跃值： (1250) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	ioiojy 73 楼逆向分析百度杀毒，方法是不是将DLL文件拖进IDA中慢慢分析呢？还是有其它的办法？ 2014-11-30 21:47 0
zbzb 雪币： 59 活跃值： (1481) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 74 楼膜拜前辈。。。果然厉害啊 2014-11-30 21:57 0
stanford 雪币： 192 活跃值： (186) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 45 粉丝 2 关注私信	stanford 75 楼好产品是需要打磨的，刚出道就放卫星放成这样，百度确实不该。小厂耍流氓会做大，大厂耍流氓会作死。 2014-12-1 08:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复