給upside 專殺惡意程式 用的 特偵碼新增工具

發表時間: 2008-1-31 19:09    作者: domino    來源: AVPClub Security Home

字體: 小 中 大 | 打印

照upside專殺的識別原理...寫了一個簡單的特偵碼新增的工具.

方便大家自己手動新增..可以自己手動作病毒碼了!

此程式無技術可言! 各位見笑了

Code/Domino



PS. 這是程式...不是樣本! 請論壇裡的幾位丁丁~別不看標題喔~這是程式...不是樣本!別在只會拿著工具 在地球作怪..
    來地球玩要學會看中文喔..

[ 本帖最後由 domino 於 2008-1-31 19:15 編輯 ]

VirConfig.zip
(2008-01-31 19:09:40, Size: 390 kB, Downloads: 12)

我也來說兩句 查看全部評論 相關評論

• upside (2008-1-31 19:49:48)

  
  出來了 感謝大大提供
  這樣大家要自訂特徵碼就可以分析了
  
  這裡自己原本還要加入 MD5 來多重判別
  以免誤判發生 所以還沒有要發出來
  
  [ 本帖最後由 upside 於 2008-1-31 19:54 編輯 ]

• domino (2008-1-31 20:28:55)

  給您建議! 其實製作專殺 只要考慮到 LEN 和 CRC 就可以了!
  因為這關於程式開發環境和檢測效率的問題.
  如果是用VB 來寫MD5 檢查 ! 拿1個5MB的MP3 來做測試!
  CRC 能在幾秒之間做完檢查...而VB 開發的MD5 如果遇到超過1MB 的可能會有卡死情況.
  
  問題來了! 那有些人說~ 為什麼有些MD5檢測工具 速度特別快!
  答案: 因為那些都是C 和 ASM 開發的...
  
  這就是VB 的致命傷..除非靠C 的 dll ....或許還能!
  其實大陸很多VB 寫的專殺也都是靠這原理在做判斷..
  不過在VB 的設計者而言這也是最好的方式..
  -------------------------------------
  
  然後我看到論壇中有人說"被人唾罵的MD5+文件名的方式" 專殺靠文件名稱來做檢測..
  其實這也沒什麼!
  因為地球人都知道 那個目錄下 根本不會有那種系統檔名存在.
  所以當然是有問題的程式了..
  舉例來說吧! 中國X60 也是對特定目錄下做檔名偵測檢查...
  雖然說這方法無技術可言! 不過那些號稱可以查殺未知木馬的也都搞這招..
  K8在映像防禦..也是搞這樣..
  
  怎斷定一個程序的技術含量好..應該是看該.開發環境能做到怎樣程度..
  而不是該程序作者沒用大家認為的方法來做設計...
  這就像..我身上只有10 元~ 您篇要我變出 100元 意思一樣 !
  
  [ 本帖最後由 domino 於 2008-1-31 20:36 編輯 ]

• upside (2008-1-31 20:37:40)

  嗯嗯 看來暫時先用這樣 MD5 部份也還在研究中

• ㄚ一 (2008-1-31 20:46:26)

  雖然我以前批評過金山使用檔案名報毒
  此法不好,因為這是一款知名大廠的AV,背後有足夠的金錢以及技術做後盾
  而且就我所知目前還是有一些AV使用雜奏值或檔案名作判斷是否為病毒
  
  我知道很多人鄙視這種方法
  但既然報殼這種也不需要高技術門檻的東西都可以做
  那為什麼文件名不行或者是雜奏值不行?

• domino (2008-1-31 20:56:15)

  殺軟道德問題! 沒辦弄脫殼引擎技術的公司...就直接把殼給殺了..
  像論壇中有人提到 007!  不過大家都知道用007 來變形的通常都不是什麼正常程序.
  所以殺軟也早把部分 007 列入名單.
  
  當然! 不可能只靠文件明在做識別!
  正常流程應該是: 文件名稱 -> 是否為有效PE物件 -> 大小 ->  特偵 !
  這樣還可以降低誤報情況! 就看個人發揮了
  
  
  我個人寧願使用變態點的方法! 也不放過其中一個.
  
  [ 本帖最後由 domino 於 2008-1-31 20:58 編輯 ]

• cyberarmy (2008-1-31 23:48:45)

  取巧的方法只能一时，不能长久。
  举一个例子：大陆之前流行的机器狗，某论坛有人写了一个“免疫工具”。方法是将userinit.exe改名或移动目录，然后把新位置，文件名信息写到注册表里。当时我朋友就说这取巧方法问题很大，除了随便把一个这么重要的系统文件改来改去是否会造成未知后果之外，机器狗作者在木马里写一段先读取注册表userinit.exe位置，再进行覆盖的代码是很方便的事情，所谓免疫形同虚设。不出所来，很快机器狗木马就这么做了。
  
  为什么很多人讨厌360，不仅仅是因为那些所谓的“技术”，还有公司老板的人品（没洗干净屁股前，是中国最大流氓软件老板，摇身一变，做“安全”了），以及360一些开发人员目空一切的态度。
  
  个人做专杀，安全工具不容易。一个人靠自己能力能做出真正靠提取程序特征而不是文件名+MD5这些取巧方法写的专杀（或者甚至说杀软），我只在以前的金山论坛见过一个人。不过后来也没继续做下去了。

• fanks (2008-2-01 09:16:13)

  我個人認為,依目前的現況,寫病毒的人多,寫查殺工具的人少,目前台灣一些有能力的人並不一定願意花時間來開發這類的病毒查殺工具,有也大多來自於彼岸,有人願意嘗試撰寫,即使因技術原因而只能用文件名或MD5來做查殺的特徵或依據,我個人還是給予他們很高的評價,一方面也很感謝他們的付出,畢竟都是出自於善意,一點商業利益也沒有,這也是一種風氣的醞釀,希望能拋磚引玉,讓技術純熟的人也能投身進來研究,讓這類的病毒查殺工具技術能有所提升,就目前的現況,電腦光靠大廠的掃毒軟體保護是不夠的,往往反應都是慢半拍,今天看到樣本過了幾天才能查出,他們也是得靠有一定程度的病毒分析者提供樣本才能增加其病毒庫,所以他們也是得靠民間團體的,不然一般老百姓,誰知道什麼是病毒樣本,誰知道程式有惡意還是沒惡意,希望大家能多一些掌聲與鼓勵,我想這些掌聲與鼓勵會是他們繼續創作的動力~謝謝

• jasonanne (2008-2-01 09:32:18)

  感謝您的分享雖然我不認識您但是我由衷感謝您，好人有好報雖然不知道要怎們用呵呵

• domino (2008-2-01 13:08:20)

  當然! 如果有允許的開發環境...每位程序設計者都應該想位自己的軟件開發更好的功能...例如脫殼引擎...或解壓縮檔功能之類的...來擴充自己程序功能..
  
  其實360也不錯~ 雖然mj 以前做流氓軟件..不過相對的.要做出一把好刀的人!必須懂刀的特性...
  希望她真的是能在做"安全"~ 不過感覺很喜歡拿金山的東西來開刀.可能未來也是走商業化吧.
  
  有興趣的人可以看早期K?的病毒庫解碼! 看看怎樣做特偵定位和命名..

  QUOTE:

  828,07,F6AB6083) cs2=(080B,40,EC2EED4E) flags=20 unk3=02 00 00 00  00 00 00 00  00 00 00 obj=/() name= Email-Worm.BAT.Baatezu#
  N=12    objn=FFFF nameo=00000042 word=616D cs1=(0F96,07,6B443C11) cs2=(0FC0,40,0711C4DE) flags=20 unk3=02 00 00 00  00 00 00 00  00 00 00 obj=/() name= Email-Worm.BAT.Barabat
  N=13    objn=FFFF nameo=0000004C word=3025 cs1=(0804,07,D3C33046) cs2=(0800,A0,3C7F2BBF) flags=20 unk3=02 00 00 00  00 00 00 00  00 00 00 obj=/() name= Email-Worm.BAT.Batwin
  N=14    objn=FFFF nameo=00000055 word=756D cs1=(043E,07,6B88ABEE) cs2=(0404,49,DDCD4FC1) flags=20 unk3=02 00 00 00  00 00 00 00  00 00 00 obj=/() name= Email-Worm.BAT.Bh.a

  [ 本帖最後由 domino 於 2008-2-1 13:11 編輯 ]

• cyberarmy (2008-2-01 19:48:32)

  QUOTE:

  原帖由 domino 於 2008-2-1 07:08 發表
  當然! 如果有允許的開發環境...每位程序設計者都應該想位自己的軟件開發更好的功能...例如脫殼引擎...或解壓縮檔功能之類的...來擴充自己程序功能..
  
  其實360也不錯~ 雖然mj 以前做流氓軟件..不過相對的.要做出一把 ...

  MJ以前做什么我不知道，但是我知道他（注意，他是男的）现在在卖ROOTKIT。做安全软件，背地里又卖ROOTKIT。投机取巧的多了，金山以前对灰鸽子的专杀工具就是提取了一个很简单的特征，查杀很高但是很取巧....所以现在为什么就不行了....

• domino (2008-2-01 21:17:17)

  呵.mj 其實是女的!.其實她網路身份有寫.博客之前也有帖照片.不然去問360粉絲
  說道她在rookit 中國 內核領域方面有很傑出表現..
  搞內核的應該都知道這號人物.
  其實賣rootkit 也不是什麼大事.畢竟 人為財死，鳥為食亡.
  去年也因為寫了"熊貓專殺"讓不少人又見識到..
  
  *MJ 最新研究 穿透金山安全島 ~ 一行代碼都不用寫
  
  [ 本帖最後由 domino 於 2008-2-1 21:23 編輯 ]

• cyberarmy (2008-2-01 22:32:35)

  QUOTE:

  原帖由 domino 於 2008-2-1 15:17 發表
  呵.mj 其實是女的!.其實她網路身份有寫.博客之前也有帖照片.不然去問360粉絲
  說道她在rookit 中國 內核領域方面有很傑出表現..
  搞內核的應該都知道這號人物.
  其實賣rootkit 也不是什麼大事.畢竟 人為財死，鳥為食 ...

  MJ在国外贴的照片是女的，但是去参加过大陆那些安全软件论坛的人回来说，MJ是男的....... 我派你去调查一下，拍几张照片给我们解惑。