[原创]一种新的多态引擎设计思路,理论,以及实现.-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (64) ◀ 1 2 3
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 51 楼谁让你是好人呢做好人哪能乱杀无辜啊 2009-4-19 00:56 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 52 楼恰巧高级语言的一些简单的语句是个程序都会有.. 2009-4-19 00:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 53 楼为什么你就不想想如何识别自己写的引擎,在你有虚拟机的前提下. 而要抛出一个问题,让别人说一个解法,又抛出一个问题,让别人又说一个解法呢? 这么循环下去,结果就是你得到了我的所有查杀技巧,而且还是在公开场合某天某个病毒出来,老板说你一定得把它搞定.然后我发觉我所有的伎俩都用不上,我就该下岗了 SO,其他人有兴趣继续,我不玩了 2009-4-19 01:03 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 54 楼再次被伤害了... 我好像一个问号也没写... 我好像确实也没有提出问题吧?(当然第一帖里的那个不算,那问题也实在不具体.) 现阶段对这个也没什么兴趣了. 至于你讲的虚拟机中的某个瞬时状态, ...算了,不讲这个. "某天某个病毒出来,老板说你一定得把它搞定.然后我发觉我所有的伎俩都用不上" 这个蛮搞笑的. 睡觉吧... 2009-4-19 01:09 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 55 楼某天某个病毒出来,老板说你一定得把它搞定.然后我发觉我所有的伎俩都用不上,我就该下岗了不知道你们的规则, 真的很抱歉. 这帖我不再讲话了. 2009-4-19 01:12 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 56 楼其实笨笨熊谈到的和正常程序不一样在杀软中也称启发式的。判断PE格式的节和入口点一些明显的INLINE HOOK 都可以算作是启发式，看你对病毒感染的PE与通常软件的PE有什么不同有多么的严格，例如小红伞这种宁可错杀一万，不放走一个的精神。 VXK提到的检测API序列的启发式，我06年自己搞过简单的。不过误报率有些高。只有一些可以。如果想的更简单一些检测引入表或者直接查找数据节或者代码节有没有一些可能产生恶意程序的API名字。也算是启发式反正有垃圾杀软这样做过。不从什么主动防御来讲，单纯杀毒引擎来讲这些，1过启发式感染问题，做到和正常程序一样。没有新节入口点不在末尾节节的属性没有特殊的属性例如可写这些启发式都可以检测。 2过特征码检测，目前取特征码的方法可以说是20多年没有特别大的东西，《计算机病毒防范艺术》这本书提到的方法也就差不多了各个杀软的取特征也就是个变种之类的。直到现在为了直接检测病毒体的特征码而跳过加解节的虚拟机其实的目的也是为了绕过多态检测。一开始也是为了可以绕过一些壳的附加。不过杀软最初的想法是哪个我也不得而知。总之传统的变形引擎在很大的程序上让杀软没有办法来获取特征码。。。导致后面产生一些取巧的方式。例如主动防御，启发搜索。 2009-4-19 01:44 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 57 楼问题是启发过程不一定仅仅是在预扫描...不仅仅用来跑解密...甚至你解密的过程本身就是特征... 2009-4-19 08:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 58 楼启发玩法太多样... 2009-4-19 08:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 59 楼不知道你的序列检查是不是跟nod32一样病态，如果是那么恭喜你，误报中等.需要做深入的检查.. 传说 nod32先检查引入表，然后根据引入表查reloc,查reloc定位APICALL序列，然后虚拟机读参数,检查参数，然后... 以前在某某公司（不是360）做杀毒外包时爬过nod32的引擎，但是被PM否决了，最后抄袭了AntiVir的引擎——结果误报那个严重... 2009-4-19 08:15 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 60 楼不光已知多态引擎呀，启发式要从各个方面找到未知多态和病毒通用特征嘛。 2009-4-19 09:30 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 61 楼什么才算是特征？ lz的理论是把一个函数分解成多个函数，然后乱序没有看出来和代码分段有什么本质的区别 2009-4-26 00:40 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 62 楼这个要顶，笨笨雄说的简洁深刻～～～～～ 2009-5-7 22:59 0
neineit 雪币： 397 活跃值： (387) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 63 楼用高级语言编写多态的技术确实有些，LZ的想法，作为一个思路可以引发大家的思考。但觉得lZ的实现方式似乎有些问题，也可能是我没能理解lz的方法。 1 多态是为了对加密头做混淆，这样整体感染代码出现无固定连续特征的bin，对抗了av的特征扫描。 lz也是对加密的实现方式做混淆，从思路上讲，是没问题的。 2 关键是传统多态技术，是以指令等效替换，结构乱序，加垃圾指令等方式混淆的。看lz的，似乎是主要以调用顺序混乱来变化的，为了支持这种变换还设计的表，其实当你的那个表”足够大“的时候就已经可以作为特征被av检测了。还有你的那个随机乱序的代码，修正call的代码，在一定程度上都可以作为特征。总体感觉是自身变化不足，作为思路可以继续深入。最后还是非常支持lz的想法的。 2009-5-25 12:33 0
9571 雪币： 106 活跃值： (276) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 201 粉丝 0 关注私信	9571 64 楼思想不错，通过随机数动态的重组函数，这样在执行的时候就没有明显的特征 2009-5-26 20:08 0
smallfool 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	smallfool 65 楼 application 和research的区别 2009-5-27 18:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (64) ◀ 1 2 3
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 51 楼谁让你是好人呢做好人哪能乱杀无辜啊 2009-4-19 00:56 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 52 楼恰巧高级语言的一些简单的语句是个程序都会有.. 2009-4-19 00:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 53 楼为什么你就不想想如何识别自己写的引擎,在你有虚拟机的前提下. 而要抛出一个问题,让别人说一个解法,又抛出一个问题,让别人又说一个解法呢? 这么循环下去,结果就是你得到了我的所有查杀技巧,而且还是在公开场合某天某个病毒出来,老板说你一定得把它搞定.然后我发觉我所有的伎俩都用不上,我就该下岗了 SO,其他人有兴趣继续,我不玩了 2009-4-19 01:03 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 54 楼再次被伤害了... 我好像一个问号也没写... 我好像确实也没有提出问题吧?(当然第一帖里的那个不算,那问题也实在不具体.) 现阶段对这个也没什么兴趣了. 至于你讲的虚拟机中的某个瞬时状态, ...算了,不讲这个. "某天某个病毒出来,老板说你一定得把它搞定.然后我发觉我所有的伎俩都用不上" 这个蛮搞笑的. 睡觉吧... 2009-4-19 01:09 0
iiii 雪币： 393 活跃值： (100) 能力值： ( LV6，RANK：80 ) 在线值：发帖 16 回帖 218 粉丝 0 关注私信	iiii 1 55 楼某天某个病毒出来,老板说你一定得把它搞定.然后我发觉我所有的伎俩都用不上,我就该下岗了不知道你们的规则, 真的很抱歉. 这帖我不再讲话了. 2009-4-19 01:12 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 56 楼其实笨笨熊谈到的和正常程序不一样在杀软中也称启发式的。判断PE格式的节和入口点一些明显的INLINE HOOK 都可以算作是启发式，看你对病毒感染的PE与通常软件的PE有什么不同有多么的严格，例如小红伞这种宁可错杀一万，不放走一个的精神。 VXK提到的检测API序列的启发式，我06年自己搞过简单的。不过误报率有些高。只有一些可以。如果想的更简单一些检测引入表或者直接查找数据节或者代码节有没有一些可能产生恶意程序的API名字。也算是启发式反正有垃圾杀软这样做过。不从什么主动防御来讲，单纯杀毒引擎来讲这些，1过启发式感染问题，做到和正常程序一样。没有新节入口点不在末尾节节的属性没有特殊的属性例如可写这些启发式都可以检测。 2过特征码检测，目前取特征码的方法可以说是20多年没有特别大的东西，《计算机病毒防范艺术》这本书提到的方法也就差不多了各个杀软的取特征也就是个变种之类的。直到现在为了直接检测病毒体的特征码而跳过加解节的虚拟机其实的目的也是为了绕过多态检测。一开始也是为了可以绕过一些壳的附加。不过杀软最初的想法是哪个我也不得而知。总之传统的变形引擎在很大的程序上让杀软没有办法来获取特征码。。。导致后面产生一些取巧的方式。例如主动防御，启发搜索。 2009-4-19 01:44 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 57 楼问题是启发过程不一定仅仅是在预扫描...不仅仅用来跑解密...甚至你解密的过程本身就是特征... 2009-4-19 08:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 58 楼启发玩法太多样... 2009-4-19 08:11 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 59 楼不知道你的序列检查是不是跟nod32一样病态，如果是那么恭喜你，误报中等.需要做深入的检查.. 传说 nod32先检查引入表，然后根据引入表查reloc,查reloc定位APICALL序列，然后虚拟机读参数,检查参数，然后... 以前在某某公司（不是360）做杀毒外包时爬过nod32的引擎，但是被PM否决了，最后抄袭了AntiVir的引擎——结果误报那个严重... 2009-4-19 08:15 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 60 楼不光已知多态引擎呀，启发式要从各个方面找到未知多态和病毒通用特征嘛。 2009-4-19 09:30 0
blackboy 雪币： 164 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 78 粉丝 0 关注私信	blackboy 61 楼什么才算是特征？ lz的理论是把一个函数分解成多个函数，然后乱序没有看出来和代码分段有什么本质的区别 2009-4-26 00:40 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 62 楼这个要顶，笨笨雄说的简洁深刻～～～～～ 2009-5-7 22:59 0
neineit 雪币： 397 活跃值： (387) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 63 楼用高级语言编写多态的技术确实有些，LZ的想法，作为一个思路可以引发大家的思考。但觉得lZ的实现方式似乎有些问题，也可能是我没能理解lz的方法。 1 多态是为了对加密头做混淆，这样整体感染代码出现无固定连续特征的bin，对抗了av的特征扫描。 lz也是对加密的实现方式做混淆，从思路上讲，是没问题的。 2 关键是传统多态技术，是以指令等效替换，结构乱序，加垃圾指令等方式混淆的。看lz的，似乎是主要以调用顺序混乱来变化的，为了支持这种变换还设计的表，其实当你的那个表”足够大“的时候就已经可以作为特征被av检测了。还有你的那个随机乱序的代码，修正call的代码，在一定程度上都可以作为特征。总体感觉是自身变化不足，作为思路可以继续深入。最后还是非常支持lz的想法的。 2009-5-25 12:33 0
9571 雪币： 106 活跃值： (276) 能力值： ( LV3，RANK：30 ) 在线值：发帖 33 回帖 201 粉丝 0 关注私信	9571 64 楼思想不错，通过随机数动态的重组函数，这样在执行的时候就没有明显的特征 2009-5-26 20:08 0
smallfool 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	smallfool 65 楼 application 和research的区别 2009-5-27 18:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复