微点交流论坛 - 主动防御 - 突发奇想的病毒思路

leanoon
注册用户

积分 50
发帖 50
注册 2006-10-2

#1 突发奇想的病毒思路

如果有一天出现了这种病毒。

分成多个子程序传播。任意2个子程序同时出现在内存中便激活。但是单个程序却没有破坏作用。这样是否可以逃过监控呢？
因为单个的病毒的确不会发作。。。

此外，我以前还想到一种病毒思路，专破坏磁盘阵列。一个程序是没有作用的，但是被拆开复制进阵列之后由于存储空间起到的割裂作用，使其成为2个独立的病毒。不过估计能编这个软件的人对硬件的了解也已经是很牛很牛了。。。

如果觉得不切实际，各位看了就权当痴人说梦话就好

※ ※ ※ 本文纯属【leanoon】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-7 10:31

newgnay
注册用户

积分 56
发帖 56
注册 2007-2-6

#2

楼主的这些想法很好,其实这些问题都可以归结为:微点的监控是否足够完美,自身保护是否足够强大.

※ ※ ※ 本文纯属【newgnay】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-7 10:34

leanoon
注册用户

积分 50
发帖 50
注册 2006-10-2

#3

嗯，是啊~~~
期待微点早日上市哦~

※ ※ ※ 本文纯属【leanoon】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-7 10:39

fzp070
新手上路

积分 21
发帖 21
注册 2007-2-7

#4

我觉得,你就算有这种病毒,按照微点主动防御的定义,是任何病毒只要你发作,他都是有一种病毒行为的,而微点是根据行为来判断你是否为病毒,所以肯定是能检测出来的,只是不知道它能不能杀掉它而已了

※ ※ ※ 本文纯属【fzp070】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-7 15:25

nasdaq
版主

版主

积分 1140
发帖 1118
注册 2006-4-6

#5

楼主的想法很有意思阿，呵呵，大家一起讨论~！

“分成多个子程序传播。任意2个子程序同时出现在内存中便激活。但是单个程序却没有破坏作用。这样是否可以逃过监控呢？”

这个病毒方案有一个比较致命的缺点就是最终破坏实施的数量应该不会很大。如果要保证大面积暴发的话，必须先花较长时间进行大面积传播，这样才能保证有较多的电脑中同时出现两个子程序。但是长时间和大面积传播都给了反病毒公司足够的时间来进行阻击和反击。其实病毒与反病毒拼得就是反应速度，主动防御的目的是为了实现0反应速度，从而试图压制病毒的传播和破坏。

当然从纯理论上讲，我觉得微点可能要进行调整后才能处理比较完善。按照目前研究微点得出的结论，微点对单一的行为最多报可疑，对复合型的行为才能准确报出类别，比如木马、病毒、蠕虫之类，同一个样本在不同环境下运行由于行为的不一致，微点可能会报出不同的类别。楼主这种想法，理论上可以干扰微点的判断（技术上能否实现我还真不太清楚），但是在极端的单一行为下，微点也应该会报可疑来警示用户。不过两个子程序如果要协同破坏那么他们之间必然需要通信联系，这是一个非常重要的特征，所以我觉得微点在调整后，可以完善的处理此类病毒。

第二个问题，专破坏磁盘阵列。一个程序是没有作用的，但是被拆开复制进阵列之后由于存储空间起到的割裂作用，使其成为2个独立的病毒。

Raid是硬件级设备，在windows中的形态只是一块大硬盘，我认为楼主的前半段想法都是可以做到的，也就是说分裂后在单块硬盘上以连续方式存储，其内容为一完整病毒。但是接下来加载该病毒是个非常棘手的问题。我不懂编程，但我觉得把硬盘扇区上的一些数据以程序方式运行起来，应该是非常麻烦的。

楼主这个想法其实和现在做免杀用花指令干扰特征码的偏移量是一个道理。所以没必要把场景搞得Raid那么复杂，简单来说楼主的想法就是把硬盘上若干个指定扇区上的一些数据以程序方式运行起来。

※ ※ ※ 本文纯属【nasdaq】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-2-7 16:31

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号