首页
社区
课程
招聘
[原创]一种新的杀毒思路
发表于: 2008-9-6 10:18 21195

[原创]一种新的杀毒思路

2008-9-6 10:18
21195
收藏
免费 7
支持
分享
最新回复 (53)
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
26
&&&&&&&&&&&&&&&&&&&&&&&&&&&
2008-9-6 23:31
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
27
谢谢你提了那么多意见,让我认识到了很多的细节,  快12点喽
NightCode又开始了
2008-9-6 23:41
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
28
~~~~~~~~~~同意30楼
2008-9-7 00:15
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
提供个数据给LZ做参考
PesPin 1.32加壳的5K文件,分支量是7G(包括Jmp/Call/Retn),如果只单单是程序领空的分支量是3G...至于这个数据是怎么来的,别问我,但,我可以保证给你的数据是真实的

PS:这里的分支量是从运行到运行起来出现界面.还不包括一些软件的操作分支
2008-9-7 01:19
0
雪    币: 82
活跃值: (10)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
30
壳的开发商必须向杀毒软件开发商提供api对原程序进行hash比对,或者提供脱壳方案。否则一律通杀。
2008-9-7 01:37
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
不和谐啊不和谐

其实还有一种思路,就是“全息主动防御”
传统的主动防御往往是挂一些钩子然后MsgBox,钩子和钩子,高层底层钩子之间的信息交流还是少了。如果能够生成程序走过的钩子序列,然后传到云端对比也是一个出路,其实这些都是微软该干的事,反而让我们擦屁股。

p2p应该可以。基于EIP云端计算,可以在给用户举报程序(EIP序列直接入库排序)接口的同时,可以利用经济手段,对于成功举报排行榜前5位的同学进行每周的奖励,形成良性互动,体系会越来越强。
2008-9-7 01:55
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
32
你急了,可别"跳墙"哦
2008-9-7 11:43
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
33
不得不说,这正在渐渐成为事实。不单单是越来越多的没有名气的壳被杀,用没有名气的开发工具开发的程序也将被杀。例如那个易语言。
2009-6-7 22:20
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
你这个不就是EIP特征码吗?一样的道理,这样的话我觉得 是不是免杀的时候会比现在容易些?
2009-6-8 13:05
0
雪    币: 209
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
杀软绝对是废物,有与没有的区别就是还不如没有的好。一个安全的系统在设计的时候就会尽可能考虑保护好资源,隔离不同进程及其释放的代码可以访问的资源。备份好加密好自己的东西才是真理
2009-6-8 22:40
0
雪    币: 5
活跃值: (374)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
方法相当古老。。。
2009-6-8 23:12
0
雪    币: 5
活跃值: (374)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
楼主你可以看看    磕毛豆  一个HIPS软件
2009-6-8 23:13
0
雪    币: 342
活跃值: (55)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
38
估计一个读文件操作就可以让记录下的 EIP 占满内存了
2009-6-21 17:21
0
雪    币: 113
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
还不如我想设计的内存相对地址数据校对.....如果那样大动干戈的为了防止某程序的运行,倒不如直接提问是否禁止某程序使用网络来得更实用.
2009-6-21 20:17
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
时隔一年又看到自己的帖子.....

之所以用EIP序列,是因为硬件上Intel支持,数据不需要全部存储,每次一个缓冲,加密压缩... 再一次缓冲....

关于Intel的Branch Trace Store 可以看下面的帖子:
http://bbs.pediy.com/showthread.php?t=66975
2009-6-21 21:56
0
雪    币: 134
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
41
说的都不错... 学习了!
2009-6-21 22:38
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
42
想法很天真.
2009-6-21 23:05
0
雪    币: 164
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
43
都看晕了
eip比软件的机器码更容易判断?

记录eip,比较最长...

和基于模版的机器码特征匹配有什么优势吗?

原来程序:a b c d e f
jmp程序:a b c [jmp]d e f
颠倒程序:a b c e d  f
加壳程序:1 2 3 4 5 6 a b c d e f

像这种东西,特征码+内存查杀就够了

实在看不到这个的优势,不过确实是新思路
2009-6-22 23:05
0
雪    币: 164
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
是因为硬件上Intel支持,数据不需要全部存储,每次一个缓冲,加密压缩... 再一次缓冲

不需要全部存储?
缓冲有多大?能加密压缩没了?
一次又一次的缓冲,东西都到哪去了?
2009-6-22 23:08
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
45
楼上仔细看 Branch Trace Store是有内存溢出中断的 具体的buffer大小可以指定 当序列达到那个大小以后触发中断 中断里对序列进行处理
2009-6-22 23:43
0
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
用来脱壳其实一样的
2009-6-22 23:44
0
雪    币: 605
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cfz
47
进来学习下,谢谢分享,呵呵
2009-6-23 00:09
0
雪    币: 118
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
想法还不错。。。
2009-6-23 00:33
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
49
虽然是08年的帖子,不过写的思路很新颖,让人耳目一新
2009-6-23 08:40
0
雪    币: 222
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
50
进来占个座,膜拜下牛人,。
2009-6-23 19:52
0
游客
登录 | 注册 方可回帖
返回
//