首页
社区
课程
招聘
[原创]阐述一个利用Win32函数钩子防堆栈溢出的函数调用栈检测法
发表于: 2008-7-5 13:31 15316

[原创]阐述一个利用Win32函数钩子防堆栈溢出的函数调用栈检测法

2008-7-5 13:31
15316
收藏
免费 0
支持
分享
最新回复 (32)
雪    币: 2316
活跃值: (129)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
26
很想了解下“行为分析法”。正想学习了解这个。
2008-8-19 18:31
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
27
所谓的行为分析,实质叫做钩子。
2008-8-19 19:32
0
雪    币: 222
活跃值: (488)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
28
LS回答的绝而无双
2008-8-19 21:04
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
29
1     模式匹配(非算法)。。。例如你要感染文件,要打开文件,读文件,然后写文件。

CreateFile
ReadFile
WriteFile
Closehandle

对于传统感染型病毒,你可能还会多了一个枚举文件的信息~~~当然,对于ANTI这种方法的病毒,你就没这么好运气了。用全局钩子HOOK CreateFile的。你得到的就剩下:

ReadFile
WriteFile

当然,这样所谓的行为分析还不如“关键点防御”(请原谅我提出这样一个名词),即只在关键位置挂个钩子。例如感染型病毒,WriteFile写PE文件就拦截。

2     行为串匹配~~~~~~~~各种各样的匹配算法都可以用~~~~~说出来都很简单,也是可以很容易想到的~~~~~~~~

就是一直记录行为,然后以某种方式,和已有的,有问题的行为串匹配。和1的区别在于连一些看似无关的信息也记录下来。例如很多正常程序使用的API,恶意代码是根本不会用的。事实上这个东西的意义在于降低误报。

3       模式识别(算法),这个东西事实上是一个大学科。你可以在网上书城搜索到很多关于这方面的书。别人出书的东西,我就不说了~~~反正就是数学模型。贝叶斯、隐马尔科夫、神经网络一类的

不过说到底还是钩子,被绕过了,其他都是扯谈~~~所以那种针对病毒识别算法的攻击其实不多~~~有空还是好好研究钩子,钩子都没挂好,学算法意义不大。

当然你想去BAIDU   GOOGLE就另当别论了
至于兴趣。。。。我几个月前也很有兴趣。还买了几本数学。一直放那里,我只能祝福你比我更有激情
2008-8-19 21:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
不管软件怎么加壳,总会被人脱壳然后反汇编,不到必要的必要关键时候,前沿的新技术我一般不会放出去
提前预防是好事,但也得知道怎么留底
2008-8-19 23:44
0
雪    币: 2316
活跃值: (129)
能力值: (RANK:410 )
在线值:
发帖
回帖
粉丝
31
多谢楼上几位兄弟。
2008-8-20 00:03
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
32
只要功能在客户端的东西,我就认为是毫无意义的
挡得住菜鸟,挡得住商人,挡不住无聊人
一个无聊人没事找东西破解,公开了技术细节,商人和菜鸟都得益

我将那种没技术的“黑客”定义为商人,将那种仰慕“黑客”不学习,到处要代码要工具的人定义为菜鸟

本来所有技术用在服务端才是上策,这样技术才能积累,人力成本才能降下来。可是有决策权的却陷入了不断抛出客户端产品的怪圈。

或许这就是搞搜索引擎的公司,一般很高薪。其他公司低薪,也很民工的原因。
2008-8-20 11:12
0
雪    币: 201
活跃值: (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
请问一下,你说的这个“行为分析法”和目前的启发式扫描有什么区别?
2008-12-3 14:23
0
游客
登录 | 注册 方可回帖
返回
//