SearchGUI 啟發引擎原形 更新20080825(加入測殼引擎)

發表時間: 2008-8-25 10:40    作者: asusp4b533    來源: AVPClub Security Home

字體: 小 中 大 | 打印

這次更新加入了測殼引擎(我相信有些人會反對),但是經過和upside大討論後,認為一般正常的程式大多不會去加殼
所以最後還是開發測殼引擎(其實應該是自己技術不足,只能用這種方法 ),並且大幅提升了偵測率,誤判率則小幅提升,到時候會用白名單解決
目前測試AVPClub 18號樣本包偵測率提升到74.2%

GUI8.exe是需要.Net Framework 3.5的版本
GUI6.exe是不需要.Net Framework的版本

GUI6.exe介面在顯示掃描結果還是怪怪的,可以去程式資料夾下的log.txt查看結果
另外似乎不需要.Net Framework版本的引擎效能比較低,所以我是推薦裝.Net Framework 3.5(介面也比較漂亮)

下載http://www.mediafire.com/?sharek ... de7d2db6fb9a8902bda

PS:GUI上面有兩張圖 一張是我的Logo 另一張藍色的看有沒有人能認出來

[ 本帖最後由 asusp4b533 於 2008-8-25 10:46 編輯 ]

我也來說兩句 查看全部評論 相關評論

• sun88990 (2008-8-25 12:13:50)

  有加入定義名稱嗎?
  這樣誤報應該也比較好解決吧!!
  --
  剛測試了一下,怎麼都是報啟發式?
  
  [ 本帖最後由 sun88990 於 2008-8-25 12:18 編輯 ]

• 小C (2008-8-25 13:23:21)

  因為它只有啟發引擎還沒有病毒資料庫
  
  原形又更新了 等很久了

• asusp4b533 (2008-8-25 13:40:38)

  這個只是單純的啟發式引擎
  主要是要加入fanks大或upside大的工具中,跟他們的特徵碼引擎結合

• 000110 (2008-8-25 22:06:01)

  小弟對測殼引擎很有興趣, 很想知道它對運作方式
  
  ps. 不介意的話, 有130款殼等待著大大

• asusp4b533 (2008-8-25 22:11:09)

  我的測殼引擎非常簡單(重點在不能脫殼 )
  主要靠加殼後特有的特徵判斷(一部分也是感染型病毒的特徵)
  用很"圓通"的方式
  
  大大可以試試130種殼能測到幾隻 (掃描報告中寫ScanShellEng就代表由測殼引擎報的)
  
  [ 本帖最後由 asusp4b533 於 2008-8-25 22:14 編輯 ]

• 000110 (2008-8-25 22:22:55)

  應該是與peid 的 user-defined database 的方式差不多吧
  
  該130種殼是加殼工具, 有空加殼後測試一下
  不過話說外國有一網站包含大部份常用的已加殼檔案 (成立的目的是希望有人脫殼並提供脫殼 的方式), 對大大可能有幫助, 不過網址要再找找

• asusp4b533 (2008-8-25 22:26:44)

  我測殼是用一個很簡單的方式,可能跟大大檔的那種不太一樣(我的比較簡陋 ),不過效果似乎還不錯
  我目前不打算加專一性的脫殼引擎,因為新的加殼出現速度太快了,我認為這樣效果不好
  要玩脫殼就要玩"虛擬機脫殼技術"
  
  [ 本帖最後由 asusp4b533 於 2008-8-25 22:29 編輯 ]

• 000110 (2008-8-25 22:40:07)

  老實說, 小弟不太清楚目前的大部份防毒軟體採用 "脫殼" 與 "虛擬機脫殼技術" 的分別
  小弟認為要脫殼就要使用類似debug程式的反匯編, 先追蹤, 定位, 斷點....
  
  那麼, 大部份防毒軟體採用 "脫殼", 是指先判斷檔案的加殼程式, 然後透過內置的script把殼脫掉?
  而"虛擬機脫殼技術"究竟是虛疑執行, 誘發實體, 還是ai方式執行追蹤, 定位, 斷點等指令把殼脫掉?

• asusp4b533 (2008-8-25 22:59:03)

  一般的專一性脫殼,是靠先判斷出殼的種類,在使用對應的解密運算進行脫殼
  但是如果殼稍微經過變形,可能就沒辦法脫了
  這種方法優點是 效率高 缺點是 如果碰到一些不知名的殼就沒辦法脫了
  
  虛擬機脫殼就是先建立一個虛擬的環境,在這個環境中運行要脫殼的程式(在虛擬環境中運行防止程式可能會危害真正的系統)
  等程式自己脫玩殼後(一般加過殼的程式在運行時會先自己把自己脫殼,然後才運行真正的程式),在將記憶體中已脫玩殼的程式寫回檔案(當然還要經過一些處理),這樣那個檔案就是脫完殼的程式了
  這樣好處是不管遇到哪種殼,幾乎都有辦法脫 缺點是效率較低 而且有些殼會偵測是否在虛擬環境中運行 如果發現是在虛擬環境中,就會自動終止
  
  大大說的Debug 反組譯 中斷 比較像是虛擬機脫殼的方法
  
  [ 本帖最後由 asusp4b533 於 2008-8-25 23:01 編輯 ]

• 000110 (2008-8-25 23:02:48)

  如果可以, 那麼大大的掃瞄引擎就採用兩種脫殼方式
  首先, 一般的專一性脫殼, 不行就進行虛擬機脫殼
  不過應該會很難

  QUOTE:

  大大說的Debug 反組譯 中斷 比較像是虛擬機脫殼的方法

  如果是等程式自己脫玩殼後(一般加過殼的程式在運行時會先自己把自己脫殼,然後才運行真正的程式),在將記憶體中已脫玩殼的程式寫回檔案(當然還要經過一些處理),這樣那個檔案就是脫完殼的程式了
  
  那應該不是了, 用Debug 反組譯 中斷, 是正常脫殼的方法
  
  [ 本帖最後由 000110 於 2008-8-25 23:05 編輯 ]

• asusp4b533 (2008-8-26 08:50:58)

  如果能做虛擬機 那就真的太強了(在虛擬機中做動態啟發 )
  技術不足呀

• sun88990 (2008-9-25 17:09:39)

  回報一下:
  McAfee把裡面很多東西都殺光了..

• asusp4b533 (2008-10-25 23:12:12)

  理論上我的程式應該是沒什麼可疑片段才對