首页
社区
课程
招聘
[讨论]关于如何躲过卡巴的非主动防御(代码扫描分析)
发表于: 2008-1-24 17:09 10161

[讨论]关于如何躲过卡巴的非主动防御(代码扫描分析)

2008-1-24 17:09
10161
卡巴确实做的不错。
我做了一个rootkit 是感染系统文件的方法
在关掉系统文件保护的时候
不管怎么改代码 卡巴都会报出Heur.Invader修改病毒
只要随便修改或注释掉代码中的某一个api 卡巴就不会报有毒了,
可见 卡巴是通过分析调用api的顺序来确定病毒的。
奇怪的就是 使用动态加载api 并且 加密字符串 卡巴也一样报错 就好像卡巴是动态编译似的

使用一些压缩壳加密,卡巴都会自动脱壳再查杀,
除非使用一些保护类的壳 卡巴才不会查出来。。
这里比较郁闷  如果使用保护类的壳会使程序加大

我想是不是可以这样,把一段代码进行加密 只有在执行的时候才解密
调用api 躲过卡巴的代码分析。 大家觉得呢?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
2
在你写的api之间加一些花指令看看
2008-1-24 18:01
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
难道卡巴还有vm或者dbg之类的xxx……  
。。

各个api到处call。。比如InitCommonControls(是个空函数)call过来,call过去~ call过来,call过去~  让卡巴晕掉。。
2008-1-24 18:02
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
卡巴的engine的分析能力很强,想迷惑他的话,加call些吧,把call的逻辑循序搞复杂些,估计就匹配不出来了。
2008-1-24 18:06
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
5
或者把call改成push+push ret
2008-1-24 18:24
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
6
,更经典的办法是不call api,直接把api的反汇编代码inline进,估计卡巴就没辙了
2008-1-24 21:32
0
雪    币: 66
活跃值: (16)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
ls 强大 :D
最后直接mov eax,xxxh +int  HOHO
2008-1-24 22:29
0
雪    币: 226
活跃值: (30)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
8
偶把LoadLibrary函数重写了一下。嘿嘿。 搞定卡巴
2008-1-25 11:25
0
雪    币: 740
活跃值: (952)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
9
自己做个NTDLL:)实在不行就痛下狠心,加个ASP,VM,SF之类的BT:)

仅博一笑,如有雷同,后果自负
2008-1-25 17:18
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
10
没看明白LZ的意思
2008-1-25 22:00
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
11
首先断掉Kaspersky 的用户模式 挂钩比如 常用的LoadLibraryA GetProcAddress检查溢出ShellCode时候一定会拦截的,恢复掉吧 或者读物理文件直接用sysenter来调用Native API吧.

其次能够进Ring0的话 就一并把SSDT恢复了吧 Kaspersky不算很邪恶.恢复了不会死,大不了把Kaspersky terminate了算了.

'我做了一个rootkit 是感染系统文件的方法
在关掉系统文件保护的时候
不管怎么改代码 卡巴都会报出Heur.Invader修改病毒'
估计LZ改的应该是  修改系统文件的关键API.Kaspersky拦截关键的一个就够了 犯不着进行行为分析, 无论从效率 还是目前的人工智能技术都还比较有限,个人感觉仅通过调用顺序来判断是否是病毒的可能性不太大,  纯属猜测. 加上想象力有限,错了的可能性极大, 全当游戏即可.不必较真.
2008-1-25 23:06
0
雪    币: 227
活跃值: (55)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
这方法好,我也有这方面的想法
2008-1-29 17:40
0
雪    币: 1657
活跃值: (291)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
13
LZ卡巴把关键的API都监视了,除非你不调用系统DLL否则,再CALL 来CALL去还是会回到系统提供的API前,也就来到卡巴眼前~~~如果卡巴当面辩不出病毒,那卡巴就可以下岗了。LZ对付卡巴是不是要搞点破坏代码
2008-1-29 19:15
0
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
恢复SSDT用RING3,卡巴会有提示,加载驱动,也会有提示呵呵,就是改时间没有提示.
2008-2-1 20:48
0
雪    币: 126
活跃值: (61)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
15
对付这个的简易方法:
PoC: http://www.xyzreg.net/blog/read.php?39
2008-2-4 00:28
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
卡巴实在是太强悍了 .. 受不了 ..
2008-2-4 06:51
0
游客
登录 | 注册 方可回帖
返回
//