[原创]阐述一个利用Win32函数钩子防堆栈溢出的函数调用栈检测法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (32) ◀ 1 2
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-8-19 18:31 26 楼 0 很想了解下“行为分析法”。正想学习了解这个。
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-8-19 19:32 27 楼 0 所谓的行为分析，实质叫做钩子。
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 275 粉丝 5 关注私信	XPoy 3 2008-8-19 21:04 28 楼 0 LS回答的绝而无双
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-8-19 21:11 29 楼 0 1 模式匹配（非算法）。。。例如你要感染文件，要打开文件，读文件，然后写文件。 CreateFile ReadFile WriteFile Closehandle 对于传统感染型病毒，你可能还会多了一个枚举文件的信息~~~当然，对于ANTI这种方法的病毒，你就没这么好运气了。用全局钩子HOOK CreateFile的。你得到的就剩下： ReadFile WriteFile 当然，这样所谓的行为分析还不如“关键点防御”（请原谅我提出这样一个名词），即只在关键位置挂个钩子。例如感染型病毒，WriteFile写PE文件就拦截。 2 行为串匹配~~~~~~~~各种各样的匹配算法都可以用~~~~~说出来都很简单，也是可以很容易想到的~~~~~~~~ 就是一直记录行为，然后以某种方式，和已有的，有问题的行为串匹配。和1的区别在于连一些看似无关的信息也记录下来。例如很多正常程序使用的API，恶意代码是根本不会用的。事实上这个东西的意义在于降低误报。 3 模式识别（算法），这个东西事实上是一个大学科。你可以在网上书城搜索到很多关于这方面的书。别人出书的东西，我就不说了~~~反正就是数学模型。贝叶斯、隐马尔科夫、神经网络一类的不过说到底还是钩子，被绕过了，其他都是扯谈~~~所以那种针对病毒识别算法的攻击其实不多~~~有空还是好好研究钩子，钩子都没挂好，学算法意义不大。当然你想去BAIDU GOOGLE就另当别论了至于兴趣。。。。我几个月前也很有兴趣。还买了几本数学。一直放那里，我只能祝福你比我更有激情
commport 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	commport 2008-8-19 23:44 30 楼 0 不管软件怎么加壳，总会被人脱壳然后反汇编，不到必要的必要关键时候，前沿的新技术我一般不会放出去提前预防是好事，但也得知道怎么留底
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-8-20 00:03 31 楼 0 多谢楼上几位兄弟。
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-8-20 11:12 32 楼 0 只要功能在客户端的东西，我就认为是毫无意义的挡得住菜鸟，挡得住商人，挡不住无聊人一个无聊人没事找东西破解，公开了技术细节，商人和菜鸟都得益我将那种没技术的“黑客”定义为商人，将那种仰慕“黑客”不学习，到处要代码要工具的人定义为菜鸟本来所有技术用在服务端才是上策，这样技术才能积累，人力成本才能降下来。可是有决策权的却陷入了不断抛出客户端产品的怪圈。或许这就是搞搜索引擎的公司，一般很高薪。其他公司低薪，也很民工的原因。
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 2008-12-3 14:23 33 楼 0 请问一下，你说的这个“行为分析法”和目前的启发式扫描有什么区别？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (32) ◀ 1 2
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-8-19 18:31 26 楼 0 很想了解下“行为分析法”。正想学习了解这个。
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-8-19 19:32 27 楼 0 所谓的行为分析，实质叫做钩子。
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 275 粉丝 5 关注私信	XPoy 3 2008-8-19 21:04 28 楼 0 LS回答的绝而无双
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-8-19 21:11 29 楼 0 1 模式匹配（非算法）。。。例如你要感染文件，要打开文件，读文件，然后写文件。 CreateFile ReadFile WriteFile Closehandle 对于传统感染型病毒，你可能还会多了一个枚举文件的信息~~~当然，对于ANTI这种方法的病毒，你就没这么好运气了。用全局钩子HOOK CreateFile的。你得到的就剩下： ReadFile WriteFile 当然，这样所谓的行为分析还不如“关键点防御”（请原谅我提出这样一个名词），即只在关键位置挂个钩子。例如感染型病毒，WriteFile写PE文件就拦截。 2 行为串匹配~~~~~~~~各种各样的匹配算法都可以用~~~~~说出来都很简单，也是可以很容易想到的~~~~~~~~ 就是一直记录行为，然后以某种方式，和已有的，有问题的行为串匹配。和1的区别在于连一些看似无关的信息也记录下来。例如很多正常程序使用的API，恶意代码是根本不会用的。事实上这个东西的意义在于降低误报。 3 模式识别（算法），这个东西事实上是一个大学科。你可以在网上书城搜索到很多关于这方面的书。别人出书的东西，我就不说了~~~反正就是数学模型。贝叶斯、隐马尔科夫、神经网络一类的不过说到底还是钩子，被绕过了，其他都是扯谈~~~所以那种针对病毒识别算法的攻击其实不多~~~有空还是好好研究钩子，钩子都没挂好，学算法意义不大。当然你想去BAIDU GOOGLE就另当别论了至于兴趣。。。。我几个月前也很有兴趣。还买了几本数学。一直放那里，我只能祝福你比我更有激情
commport 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	commport 2008-8-19 23:44 30 楼 0 不管软件怎么加壳，总会被人脱壳然后反汇编，不到必要的必要关键时候，前沿的新技术我一般不会放出去提前预防是好事，但也得知道怎么留底
shellwolf 雪币： 2314 活跃值： (129) 能力值： (RANK：410 ) 在线值：发帖 59 回帖 645 粉丝 10 关注私信	shellwolf 10 2008-8-20 00:03 31 楼 0 多谢楼上几位兄弟。
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2008-8-20 11:12 32 楼 0 只要功能在客户端的东西，我就认为是毫无意义的挡得住菜鸟，挡得住商人，挡不住无聊人一个无聊人没事找东西破解，公开了技术细节，商人和菜鸟都得益我将那种没技术的“黑客”定义为商人，将那种仰慕“黑客”不学习，到处要代码要工具的人定义为菜鸟本来所有技术用在服务端才是上策，这样技术才能积累，人力成本才能降下来。可是有决策权的却陷入了不断抛出客户端产品的怪圈。或许这就是搞搜索引擎的公司，一般很高薪。其他公司低薪，也很民工的原因。
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 2008-12-3 14:23 33 楼 0 请问一下，你说的这个“行为分析法”和目前的启发式扫描有什么区别？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复