当前位置:七道奇文章资讯安全技术网络技术
日期:2009-06-22 13:53:00  来源:本站整理

不为人知的免杀底子--论错误的免杀思惟[网络技术]

赞助商链接



  本文“不为人知的免杀底子--论错误的免杀思惟[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
作为一个免杀技术的爱好者,自己在免杀的学习历程当中发现了一些奇特的现象,而当我深化研究之后却发现了别的一片天地. 

比方隐含特点码毕竟存在与否?以及为什么有时每次特点码定位的后果都不尽相同?是什么缘由招致这些情形的发生?或是目前网上传播的注释真的就精确吗? 

假如想深化研究这些,我们一定要挑选一个方历来揭开谜题,比方是应当从杀毒软件着手研究呢、还是应当从特点码******的原理着手研究?或是二者皆顾? 

下面我们就由这个问题开始,在探究业内错误的免杀思惟时,同时总结出我们应当从那边动手对比公道.本日我就带领读者们从正反两个方面根究免杀当中碰到的一些奇特事. 



1、正方:以杀毒软件为底子展开研究 

正方的论点是以杀毒软件为底子来研究这个问题更为符合. 

说起杀毒软件的底子,有些朋友大概认为不屑于股,但恰是这看似简单的杀毒软件原理中,却包含着解开谜团的钥匙.我们知道,一个杀毒软件的复杂程度要远远超越病毒木马,理所当然其原理也对比复杂.普通情形下,一个杀毒软件是由扫描器、病毒库与虚拟机构成,扫描器是杀毒软件的核心,用于发现病毒,但是杀毒软件并非只存在这一个扫描器!大大都软件都是若干个扫描器(或扫描算法)的结合体,固然杀毒软件的基本思惟就是特点码匹配,但是很不幸,其实目前大大都的杀毒软件都已经拥有了自己独特的扫描器.特点码扫描技术只是第一代扫描技术的主流,目前早就已经迎来了第二代扫描技术的遍及. 

我们就拿最典型的卡巴斯基来说,在它身上实际上已经很少见到特点码匹配的影子,目前卡巴斯基利用的主流扫描技术是一种称之为"密码校验和"的独特扫描算法,它差别于我们平常理解的校验和技术,他的思惟是通过一定的文件特点,从而决意计算某一偏移量区域的校验和,从而得出两个值,这两个值便可以说是终究的所谓的特点码了.并且通过实行,不难发现这种校验和算法对大小写交换,行与行之间交换表现的并不敏感,这直接招致了我们免杀工作面对着更大的挑衅. 

这种技术早在6.0版就已经被卡巴启用,所以招致了一些免杀当中奇特现象的发生,一些业内的朋友大多以隐含特点码等词汇来委曲注释这种奇特现象.下面就是我的推论,小弟这是一家之言,若有错误的地方还望大家多多指正. 

首先,特别的扫描办法必定伴随着特别的特点码,卡巴斯基的密码校验和定位出来的"特点码"体积普通都对比大,由于它具有一定的抗干扰性质,所以会招致一些简单的改正不会见效,并且会招致每次特点码定位的差别很大等等现象的发生.为了对其校验和的值举行有效的干扰,所以常常多改正几处看似毫不相关的地方却得到了免杀的效果,从而得出"隐含特点码"的结论. 

其实假如我们逆向考虑一下,就会发现"隐含特点码"是一种不大大概实现的技术,这个特点码假如是隐含的,那么杀毒软件在检测到它存在时,是报毒还是不报毒?假如报毒,那它就不能称之为"隐含特点码"了.假如不报毒,那么必定就需求有一个机制来触发它,如果这样的话,那还有另一种注释——干扰码.假如发现原有本应有特点码存在的地方假如全被00覆盖来反定位,那么杀毒软件此时就会激活干扰码(一种假的特点码),从而招致我们在免杀的最后几步失利. 

所以说"隐含特点码"应当是一种错误的见解,真正招致这种现象发生的是我们所知道的或不知道的扫描算法招致的,比方卡巴斯基的密码校验和扫描算法. 

因此,正方感受假如想要研究免杀技术,就应当先搞懂得杀毒软件的原理.正如上文所述,仅仅一个扫描算法的问题却揭露了一些我们从前的错误见解,因此正方相信通过杀毒软件原理来研究免杀当中的一些问题才是明智之选. 


2、反方:特点码******的一点考虑 

杀毒软件是免杀的对手或是仇人,并且这个仇人对比强盛.因此反方认为,杀毒软件不是随便一个免杀爱好者就有本领去研究的.所以我们应当学会从自己手中的"枪"——特点码****** 上来研究事情的本质. 

这里我就先拿大家对比常用的MyCcl为例讲授.首先让我们看看下面的两个问题: 

1、为什么特点码的定位后果会不尽相同?除了与杀毒软件有关,还有没有其他缘由? 

2、为什么一样的东西,特点吗定位时的精度却有高有低?并且相差对比大? 

目前我们先看一张如图1所示的MyCcl的工作原理表示图.  

001.JPG (349.35 KB) 

2008-12-6 11:56 

目前我们假定一个由图2所示的对比极度的例子: 

1111111111111111 

1111111AA1111111 

1111111111111111 


这个例子的特点码恰好位于文件的正中央,当我们的分块个数设为2时,就会呈现呈现以下流程: 

第一批,如图3、4: 

1111111111111111 1111111111111111 

1111111A00000000 1111111AA1111111 

0000000000000000 1111111111111111 

第一次生成的文件掩盖了特点码,特点码在24-48字节之间. 


第二批,如图5、6: 

1111111111111111 1111111111111111 

1111111A00000000 1111111A00000000 

0000000000000000 0000000000000000 

第一次生成的文件与第二次生成的都掩盖了特点码,特点码在24-48字节之间. 


由上面的流程可知,文件被填充到一半时恰好破坏掉了特点码,而当我们用这个后果来举行二次"复合定位特点码"时,将永久找不到带毒文件,因为这处特点码在定位时已经被一分为二了,所以说此时用MYCCL定位的最高精度就是这一半文件的大小了…… 

经过我的实行,发现这种情况将分块个数辨别设为3,并且复合定位仍旧分为2时,它的精度就会提高到整个文件大小的1/3,在分块个数设为6时,特的精度会变成整个文件的1/6. 

通过这个例子,相信各位读者已经看到了分块个数关于特点码定位后果的影响了,我们同时发现,初次生成的样本文件个数越多,定位出来的后果自然就越切确,但是随着分块个数的渐渐增添,它对特点码精度的影响也在渐渐减小. 

因此我们不难发现,分块个数的设定,在一定程度上正在影响着我们的免杀成功率,但大概有读者会问"这仅仅是一个对比特别的例子罢了,他能有多大的说服力?" 

首先这个设法是很客观的,但是假如我们将近似密码校验和的扫描技术考虑进去的话,就不难发现这种情形的发生概率还是非常大的,鉴于密码校验和产生的大体积特点码,所以我认为这个特别的例子还是很有说服力的. 

而除此之外,我们也应当好好考虑一下填充数据的挑选,大大都朋友都采取默许的"00",我们刨去由此引发的干扰码不提,就概率来说,一个文件呈现空白区域的大小普通最少占整个文件体积的10%左右.所以说,"00"字节在文件中呈现的概率至少为10%,而16进制中其他15个字符呈现的概率最多仅为6.6%.因此特点码中呈现"00"的概率必定也会受其影响,所以假如碰到这种情形,而我们还用"00"方法来填充这种本身就为"00"的特点码时,必定就会面对失利…… 

从上面我们不丢脸出来,我们通过对特点码******MYCCL的研究,得出了定位后果为什么不尽相同以及特点码定位精度问题.因此反方认为,通过对特点码******展开研究才是便于操作且明智的办法. 

到这里,这场不算激烈的辩说就正式完毕了,而关于最后的后果我想并不重要,重要的是各位读者能否通过这场辩说学到了些什么?假如答案是必定的,那么我的目的就到达了. 

关于本文的论点来说,笔者认为正反两方所述的概念都是精确的,很明显我们不大概单单从一个方面去很全面的研究什么,之所以我a1pass"画蛇添足"设了这么个论点,目的就在于改变一下技术文章行文方法,也答应以让大家看得更风趣一些,也可说这是一种尝试.

  以上是“不为人知的免杀底子--论错误的免杀思惟[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 微软Win8 RP版中不为人知的本领介绍(图)
  • 详解85个微软Windows 7不为人知小本领
  • 不为人知的Windows八大保密本领
  • 不为人知的Windows系统八大保密本领
  • 理解Windows系统里不为人知的小奥秘
  • 不为人知的小奥秘:windows 7自带屏幕录像工具
  • <b>windows不为人知的四个奥秘</b>
  • <b>MySQL数据库中不为人知的本领</b>
  • Windows XP中不为人知的热键漏洞
  • 不为人知的免杀底子--论错误的免杀思惟
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .