[原创]一种新的杀毒思路-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]一种新的杀毒思路

发表于: 2008-9-6 10:18 21151

[原创]一种新的杀毒思路

marshalx

2008-9-6 10:18

21151

查看主题内容

收藏・2

免费・7

支持

最新回复 (53) ◀ 1 2 3 ▶
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 26 楼 &&&&&&&&&&&&&&&&&&&&&&&&&&& 2008-9-6 23:31 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 27 楼谢谢你提了那么多意见，让我认识到了很多的细节，快12点喽 NightCode又开始了 2008-9-6 23:41 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 28 楼 ~~~~~~~~~~同意30楼 2008-9-7 00:15 0
RootKits 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 0 关注私信	RootKits 29 楼提供个数据给LZ做参考 PesPin 1.32加壳的5K文件,分支量是7G(包括Jmp/Call/Retn),如果只单单是程序领空的分支量是3G...至于这个数据是怎么来的,别问我,但,我可以保证给你的数据是真实的 PS:这里的分支量是从运行到运行起来出现界面.还不包括一些软件的操作分支 2008-9-7 01:19 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 30 楼壳的开发商必须向杀毒软件开发商提供api对原程序进行hash比对，或者提供脱壳方案。否则一律通杀。 2008-9-7 01:37 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 31 楼不和谐啊不和谐其实还有一种思路，就是“全息主动防御” 传统的主动防御往往是挂一些钩子然后MsgBox，钩子和钩子，高层底层钩子之间的信息交流还是少了。如果能够生成程序走过的钩子序列，然后传到云端对比也是一个出路，其实这些都是微软该干的事，反而让我们擦屁股。 p2p应该可以。基于EIP云端计算，可以在给用户举报程序（EIP序列直接入库排序）接口的同时，可以利用经济手段，对于成功举报排行榜前5位的同学进行每周的奖励，形成良性互动，体系会越来越强。 2008-9-7 01:55 0
RootKits 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 0 关注私信	RootKits 32 楼你急了,可别"跳墙"哦 2008-9-7 11:43 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 33 楼不得不说，这正在渐渐成为事实。不单单是越来越多的没有名气的壳被杀，用没有名气的开发工具开发的程序也将被杀。例如那个易语言。 2009-6-7 22:20 0
雪人雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	雪人 34 楼你这个不就是EIP特征码吗？一样的道理，这样的话我觉得是不是免杀的时候会比现在容易些？ 2009-6-8 13:05 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 35 楼杀软绝对是废物，有与没有的区别就是还不如没有的好。一个安全的系统在设计的时候就会尽可能考虑保护好资源，隔离不同进程及其释放的代码可以访问的资源。备份好加密好自己的东西才是真理 2009-6-8 22:40 0
king少雪币： 5 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 36 楼方法相当古老。。。 2009-6-8 23:12 0
king少雪币： 5 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 37 楼楼主你可以看看磕毛豆一个HIPS软件 2009-6-8 23:13 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 38 楼估计一个读文件操作就可以让记录下的 EIP 占满内存了 2009-6-21 17:21 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 39 楼还不如我想设计的内存相对地址数据校对.....如果那样大动干戈的为了防止某程序的运行,倒不如直接提问是否禁止某程序使用网络来得更实用. 2009-6-21 20:17 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 40 楼时隔一年又看到自己的帖子..... 之所以用EIP序列，是因为硬件上Intel支持，数据不需要全部存储，每次一个缓冲，加密压缩... 再一次缓冲.... 关于Intel的Branch Trace Store 可以看下面的帖子: http://bbs.pediy.com/showthread.php?t=66975 2009-6-21 21:56 0
secode 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 74 粉丝 0 关注私信	secode 41 楼说的都不错... 学习了! 2009-6-21 22:38 0
吹雪雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	吹雪 42 楼想法很天真. 2009-6-21 23:05 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 43 楼都看晕了 eip比软件的机器码更容易判断？记录eip，比较最长... 和基于模版的机器码特征匹配有什么优势吗？原来程序：a b c d e f jmp程序：a b c [jmp]d e f 颠倒程序：a b c e d f 加壳程序：1 2 3 4 5 6 a b c d e f 像这种东西，特征码+内存查杀就够了实在看不到这个的优势，不过确实是新思路 2009-6-22 23:05 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 44 楼是因为硬件上Intel支持，数据不需要全部存储，每次一个缓冲，加密压缩... 再一次缓冲不需要全部存储？缓冲有多大？能加密压缩没了？一次又一次的缓冲，东西都到哪去了？ 2009-6-22 23:08 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 45 楼楼上仔细看 Branch Trace Store是有内存溢出中断的具体的buffer大小可以指定当序列达到那个大小以后触发中断中断里对序列进行处理 2009-6-22 23:43 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 46 楼用来脱壳其实一样的 2009-6-22 23:44 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 47 楼进来学习下，谢谢分享，呵呵 2009-6-23 00:09 0
到处乱走雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	到处乱走 48 楼想法还不错。。。 2009-6-23 00:33 0
zhangfuhai 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	zhangfuhai 49 楼虽然是08年的帖子，不过写的思路很新颖，让人耳目一新 2009-6-23 08:40 0
odison 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	odison 50 楼进来占个座，膜拜下牛人，。 2009-6-23 19:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

marshalx

发帖

139

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (53) ◀ 1 2 3 ▶
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 26 楼 &&&&&&&&&&&&&&&&&&&&&&&&&&& 2008-9-6 23:31 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 27 楼谢谢你提了那么多意见，让我认识到了很多的细节，快12点喽 NightCode又开始了 2008-9-6 23:41 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 28 楼 ~~~~~~~~~~同意30楼 2008-9-7 00:15 0
RootKits 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 0 关注私信	RootKits 29 楼提供个数据给LZ做参考 PesPin 1.32加壳的5K文件,分支量是7G(包括Jmp/Call/Retn),如果只单单是程序领空的分支量是3G...至于这个数据是怎么来的,别问我,但,我可以保证给你的数据是真实的 PS:这里的分支量是从运行到运行起来出现界面.还不包括一些软件的操作分支 2008-9-7 01:19 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 30 楼壳的开发商必须向杀毒软件开发商提供api对原程序进行hash比对，或者提供脱壳方案。否则一律通杀。 2008-9-7 01:37 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 31 楼不和谐啊不和谐其实还有一种思路，就是“全息主动防御” 传统的主动防御往往是挂一些钩子然后MsgBox，钩子和钩子，高层底层钩子之间的信息交流还是少了。如果能够生成程序走过的钩子序列，然后传到云端对比也是一个出路，其实这些都是微软该干的事，反而让我们擦屁股。 p2p应该可以。基于EIP云端计算，可以在给用户举报程序（EIP序列直接入库排序）接口的同时，可以利用经济手段，对于成功举报排行榜前5位的同学进行每周的奖励，形成良性互动，体系会越来越强。 2008-9-7 01:55 0
RootKits 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 0 关注私信	RootKits 32 楼你急了,可别"跳墙"哦 2008-9-7 11:43 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 33 楼不得不说，这正在渐渐成为事实。不单单是越来越多的没有名气的壳被杀，用没有名气的开发工具开发的程序也将被杀。例如那个易语言。 2009-6-7 22:20 0
雪人雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	雪人 34 楼你这个不就是EIP特征码吗？一样的道理，这样的话我觉得是不是免杀的时候会比现在容易些？ 2009-6-8 13:05 0
Jeller 雪币： 209 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 186 粉丝 0 关注私信	Jeller 35 楼杀软绝对是废物，有与没有的区别就是还不如没有的好。一个安全的系统在设计的时候就会尽可能考虑保护好资源，隔离不同进程及其释放的代码可以访问的资源。备份好加密好自己的东西才是真理 2009-6-8 22:40 0
king少雪币： 5 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 36 楼方法相当古老。。。 2009-6-8 23:12 0
king少雪币： 5 活跃值： (369) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 189 粉丝 0 关注私信	king少 37 楼楼主你可以看看磕毛豆一个HIPS软件 2009-6-8 23:13 0
寂寞羽毛雪币： 342 活跃值： (55) 能力值： ( LV5，RANK：70 ) 在线值：发帖 36 回帖 80 粉丝 0 关注私信	寂寞羽毛 1 38 楼估计一个读文件操作就可以让记录下的 EIP 占满内存了 2009-6-21 17:21 0
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 39 楼还不如我想设计的内存相对地址数据校对.....如果那样大动干戈的为了防止某程序的运行,倒不如直接提问是否禁止某程序使用网络来得更实用. 2009-6-21 20:17 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 40 楼时隔一年又看到自己的帖子..... 之所以用EIP序列，是因为硬件上Intel支持，数据不需要全部存储，每次一个缓冲，加密压缩... 再一次缓冲.... 关于Intel的Branch Trace Store 可以看下面的帖子: http://bbs.pediy.com/showthread.php?t=66975 2009-6-21 21:56 0
secode 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 74 粉丝 0 关注私信	secode 41 楼说的都不错... 学习了! 2009-6-21 22:38 0
吹雪雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	吹雪 42 楼想法很天真. 2009-6-21 23:05 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 43 楼都看晕了 eip比软件的机器码更容易判断？记录eip，比较最长... 和基于模版的机器码特征匹配有什么优势吗？原来程序：a b c d e f jmp程序：a b c [jmp]d e f 颠倒程序：a b c e d f 加壳程序：1 2 3 4 5 6 a b c d e f 像这种东西，特征码+内存查杀就够了实在看不到这个的优势，不过确实是新思路 2009-6-22 23:05 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 44 楼是因为硬件上Intel支持，数据不需要全部存储，每次一个缓冲，加密压缩... 再一次缓冲不需要全部存储？缓冲有多大？能加密压缩没了？一次又一次的缓冲，东西都到哪去了？ 2009-6-22 23:08 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 45 楼楼上仔细看 Branch Trace Store是有内存溢出中断的具体的buffer大小可以指定当序列达到那个大小以后触发中断中断里对序列进行处理 2009-6-22 23:43 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 46 楼用来脱壳其实一样的 2009-6-22 23:44 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 47 楼进来学习下，谢谢分享，呵呵 2009-6-23 00:09 0
到处乱走雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	到处乱走 48 楼想法还不错。。。 2009-6-23 00:33 0
zhangfuhai 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	zhangfuhai 49 楼虽然是08年的帖子，不过写的思路很新颖，让人耳目一新 2009-6-23 08:40 0
odison 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	odison 50 楼进来占个座，膜拜下牛人，。 2009-6-23 19:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复