[讨论]关于如何躲过卡巴的非主动防御（代码扫描分析）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 39 回帖 754 粉丝 54 关注私信	combojiang 26 2008-1-24 18:01 2 楼 0 在你写的api之间加一些花指令看看
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2008-1-24 18:02 3 楼 0 难道卡巴还有vm或者dbg之类的xxx…… 。。各个api到处call。。比如InitCommonControls（是个空函数）call过来，call过去～ call过来，call过去～让卡巴晕掉。。
LnXer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	LnXer 2008-1-24 18:06 4 楼 0 卡巴的engine的分析能力很强，想迷惑他的话，加call些吧，把call的逻辑循序搞复杂些，估计就匹配不出来了。
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2008-1-24 18:24 5 楼 0 或者把call改成push+push ret
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 39 回帖 754 粉丝 54 关注私信	combojiang 26 2008-1-24 21:32 6 楼 0 ，更经典的办法是不call api，直接把api的反汇编代码inline进，估计卡巴就没辙了
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2008-1-24 22:29 7 楼 0 ls 强大 :D 最后直接mov eax，xxxh +int HOHO
流动的情感雪币： 226 活跃值： (30) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 75 粉丝 1 关注私信	流动的情感 4 2008-1-25 11:25 8 楼 0 偶把LoadLibrary函数重写了一下。嘿嘿。搞定卡巴
NONAME剑人雪币： 740 活跃值： (953) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 393 粉丝 13 关注私信	NONAME剑人 3 2008-1-25 17:18 9 楼 0 自己做个NTDLL：）实在不行就痛下狠心，加个ASP，VM，SF之类的BT：）仅博一笑，如有雷同，后果自负
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-1-25 22:00 10 楼 0 没看明白LZ的意思
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2008-1-25 23:06 11 楼 0 首先断掉Kaspersky 的用户模式挂钩比如常用的LoadLibraryA GetProcAddress检查溢出ShellCode时候一定会拦截的,恢复掉吧或者读物理文件直接用sysenter来调用Native API吧. 其次能够进Ring0的话就一并把SSDT恢复了吧 Kaspersky不算很邪恶.恢复了不会死,大不了把Kaspersky terminate了算了. '我做了一个rootkit 是感染系统文件的方法在关掉系统文件保护的时候不管怎么改代码卡巴都会报出Heur.Invader修改病毒' 估计LZ改的应该是修改系统文件的关键API.Kaspersky拦截关键的一个就够了犯不着进行行为分析, 无论从效率还是目前的人工智能技术都还比较有限,个人感觉仅通过调用顺序来判断是否是病毒的可能性不太大, 纯属猜测. 加上想象力有限,错了的可能性极大, 全当游戏即可.不必较真.
冷酷果冻雪币： 227 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 34 粉丝 0 关注私信	冷酷果冻 2008-1-29 17:40 12 楼 0 这方法好，我也有这方面的想法
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 65 回帖 319 粉丝 4 关注私信	menting 14 2008-1-29 19:15 13 楼 0 LZ卡巴把关键的API都监视了，除非你不调用系统DLL否则，再CALL 来CALL去还是会回到系统提供的API前，也就来到卡巴眼前~~~如果卡巴当面辩不出病毒，那卡巴就可以下岗了。LZ对付卡巴是不是要搞点破坏代码
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 2008-2-1 20:48 14 楼 0 恢复SSDT用RING3,卡巴会有提示,加载驱动,也会有提示呵呵,就是改时间没有提示.
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-2-4 00:28 15 楼 0 对付这个的简易方法： PoC： http://www.xyzreg.net/blog/read.php?39
shenzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	shenzhu 2008-2-4 06:51 16 楼 0 卡巴实在是太强悍了 .. 受不了 ..
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (15)
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 39 回帖 754 粉丝 54 关注私信	combojiang 26 2008-1-24 18:01 2 楼 0 在你写的api之间加一些花指令看看
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2008-1-24 18:02 3 楼 0 难道卡巴还有vm或者dbg之类的xxx…… 。。各个api到处call。。比如InitCommonControls（是个空函数）call过来，call过去～ call过来，call过去～让卡巴晕掉。。
LnXer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	LnXer 2008-1-24 18:06 4 楼 0 卡巴的engine的分析能力很强，想迷惑他的话，加call些吧，把call的逻辑循序搞复杂些，估计就匹配不出来了。
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2008-1-24 18:24 5 楼 0 或者把call改成push+push ret
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 39 回帖 754 粉丝 54 关注私信	combojiang 26 2008-1-24 21:32 6 楼 0 ，更经典的办法是不call api，直接把api的反汇编代码inline进，估计卡巴就没辙了
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 319 粉丝 1 关注私信	炉子 3 2008-1-24 22:29 7 楼 0 ls 强大 :D 最后直接mov eax，xxxh +int HOHO
流动的情感雪币： 226 活跃值： (30) 能力值： ( LV9，RANK：170 ) 在线值：发帖 19 回帖 75 粉丝 1 关注私信	流动的情感 4 2008-1-25 11:25 8 楼 0 偶把LoadLibrary函数重写了一下。嘿嘿。搞定卡巴
NONAME剑人雪币： 740 活跃值： (953) 能力值： ( LV9，RANK：160 ) 在线值：发帖 59 回帖 393 粉丝 13 关注私信	NONAME剑人 3 2008-1-25 17:18 9 楼 0 自己做个NTDLL：）实在不行就痛下狠心，加个ASP，VM，SF之类的BT：）仅博一笑，如有雷同，后果自负
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-1-25 22:00 10 楼 0 没看明白LZ的意思
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2008-1-25 23:06 11 楼 0 首先断掉Kaspersky 的用户模式挂钩比如常用的LoadLibraryA GetProcAddress检查溢出ShellCode时候一定会拦截的,恢复掉吧或者读物理文件直接用sysenter来调用Native API吧. 其次能够进Ring0的话就一并把SSDT恢复了吧 Kaspersky不算很邪恶.恢复了不会死,大不了把Kaspersky terminate了算了. '我做了一个rootkit 是感染系统文件的方法在关掉系统文件保护的时候不管怎么改代码卡巴都会报出Heur.Invader修改病毒' 估计LZ改的应该是修改系统文件的关键API.Kaspersky拦截关键的一个就够了犯不着进行行为分析, 无论从效率还是目前的人工智能技术都还比较有限,个人感觉仅通过调用顺序来判断是否是病毒的可能性不太大, 纯属猜测. 加上想象力有限,错了的可能性极大, 全当游戏即可.不必较真.
冷酷果冻雪币： 227 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 34 粉丝 0 关注私信	冷酷果冻 2008-1-29 17:40 12 楼 0 这方法好，我也有这方面的想法
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 65 回帖 319 粉丝 4 关注私信	menting 14 2008-1-29 19:15 13 楼 0 LZ卡巴把关键的API都监视了，除非你不调用系统DLL否则，再CALL 来CALL去还是会回到系统提供的API前，也就来到卡巴眼前~~~如果卡巴当面辩不出病毒，那卡巴就可以下岗了。LZ对付卡巴是不是要搞点破坏代码
一个穷光蛋雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 87 粉丝 0 关注私信	一个穷光蛋 2008-2-1 20:48 14 楼 0 恢复SSDT用RING3,卡巴会有提示,加载驱动,也会有提示呵呵,就是改时间没有提示.
xyzreg 雪币： 126 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 46 粉丝 1 关注私信	xyzreg 1 2008-2-4 00:28 15 楼 0 对付这个的简易方法： PoC： http://www.xyzreg.net/blog/read.php?39
shenzhu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	shenzhu 2008-2-4 06:51 16 楼 0 卡巴实在是太强悍了 .. 受不了 ..
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复