微点交流论坛 - 灌水区 - [转]我不看好微点扫描

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 灌水区 » [转]我不看好微点扫描

恨毒的人
中级用户

积分 273
发帖 273
注册 2007-7-9
来自次元空间

#1 [转]我不看好微点扫描

上一篇 / 下一篇 2007-08-12 18:15:48 / 个人分类：网络安全

查看( 9 ) / 评论( 7 )
前言：我在准备《微点不是病毒终结者》的时候，又琢磨了一下扫描引擎，结论是我个人不太看好微点要推出的扫描引擎。把想法整理出来和大家一起讨论，欢迎朋友们批评指教，共同提高。

一、什么是脱壳
脱壳对于杀毒软件的重要性，是毋庸置疑的。究竟什么是脱壳呢？这要从加壳谈起。本人才疏学浅，我觉得加壳的目的一般来说主要有两类，一是压缩应用程序体积，譬如说很有名的upx压缩壳；还有一个就是为了加密保护应用程序，防止程序的资源被盗用或是被破解，这类縂un刈⒌娜鹊闶蔷】赡鼙苊獗煌芽腔乖鲈汲绦颉Ｎ蘼凼裁茨康模涌堑慕峁羌涌呛蟮某绦蚪涞煤图涌乔安灰谎?br />
正因为加壳可以使程序文件发生变化，那么把加壳应用到病毒程序上，就可以干扰特征码扫描引擎的判断。因为一般来说加过壳的程序，原始的程序文件就被改变了，所以原有的特征识别方案自然就无效了。当然特征扫描引擎可以用带壳提特征的方法来实现查杀被加壳的已知病毒，但是带壳提特征这种方法实属亡羊补牢，典型的治标不治本。带壳提特征的扫描引擎，一个原始样本加多少壳就衍生出多少个所谓的新变种，这样玩儿下去的话，杀毒游戏还有尽头么？莫忘了理论上壳的数量和种类是无限的，写出一个很棒的壳是很麻烦的事情，但是瞎糊弄出一个只为了改变程序本体，从而暂时逃避带壳提特征扫描引擎追杀的壳，绝对不会是太麻烦的事情。

正是因为带壳提特征十分被动，于是乎，杀毒软件们普遍都很重视脱縂unぷ鳎芽堑哪芰σ彩俏颐呛饬恳豢钌倍救砑倍灸芰Φ闹匾曜贾弧?br />

二、常见的脱壳方法
有矛就会有盾，常见的脱壳方法主要有两种：算法脱壳和虚拟机脱壳。

算法脱壳，简单说就是加壳算法的逆运算。
优点：效率高，脱壳速度快。
缺点：1.滞后性，只有在详细分析加壳算法后，才有可能写出脱壳算法；加壳算法稍有更新，脱壳算法就必须要进行相应更新。
2.很多加壳算法的防范反汇编工作做得非常好，数学加密算法也非常棒，我不敢说绝对写不出脱壳算法，但绝对是极大的增加了写出完善脱壳算法的难度。出于效率原因，如果研究一个脱壳算法需要耗费非常Zhang的时间，那么这个加壳算法就可以认为是不可脱壳的，时间是宝贵的，哪家公司也托不起。

虚拟机脱壳，简单说就是创建一个虚拟环境，将程序或是部分程序虚拟运行，由程序自行运行完成从而实现自动脱壳。虚拟机脱壳，实际上是建立在一种心理假设的基础上，虚拟机假设所有加过壳的程序其最终目的都是要正常运行，而加过壳的程序正常运行的前提条件是必须要自行脱壳还原成程序本体。我认为这个假设是成立的，所有给木马加壳的人的目的，都是为了躲避杀毒软件查杀且木马能正常运行发挥作用，除了某些技术bug造成的原因使得木马无法运行，没有人会刻意搞出一批死木马来给大家搞笑用。
优点：虚拟机理论上是可以实现广谱脱壳的，即脱掉所有的壳！
缺点：虚拟机的虚拟运行特性，使得虚拟机脱壳的资源占用较高，脱壳速度较慢。好消息是Intel和微软准备在硬件层面支持虚拟技术，这样就会使得虚拟机获得几乎和真实机一样的程序运行效率。具体支持VT的型号我没太注意，有兴趣的朋友自己去查相关资料吧。

PS：虚拟机并不是什么全新的技术，在DOS时代的加密变形病毒就已经用到了简单的虚拟机。有兴趣的朋友请看下面这篇文章。呵呵，去年在微点论坛，calm_cs大哥强烈推荐的，稍微Zhang了点儿，但是小弟看完后真的受益匪浅。
http://www.jijiao.com.cn/avtech/antiVtech/00000021.htm

光说不练那是假把式，下面来看一下杀软们的真实表演吧。我在绅博看到的下面这个转载太平洋的帖子，真的给我非常大的震撼。我真的没想到，所谓的国内国外著名公司的杀毒软件们，著名的虚拟机们，网络上被风传可以脱上千种壳的超强脱壳引擎们，在扫描同一个样本加不同的12种壳时，无一例外，全都自觉地漏出了带壳提特征的马脚。同一个样本加不同壳，为什么会扫描出不同的病毒名称？这壳究竟是脱了还是没脱？我猜杀软们永远都不会正面答复这个问题，因为答案是带壳提特征。
http://softbbs.pconline.com.cn/topic.jsp?tid=6087616

希望大家用事实来交流，咱们中国人太容易被网络流言欺骗了。我在去年也非常推崇那个可以脱上千种壳的超强脱壳引擎的引擎架构，我曾经很为它处理复合文件格式的超强能力所倾倒。真的是希望越大，梦醒了失望也越大。

三、我眼中的微点扫描
太平洋那个帖子给我的震撼真的是很大，帖子是去年10月的，我大概是在今年年初在绅博才看到的转贴。如果是少数杀软厂商带壳提特征，多数都可以很好地脱壳，那我会非常坦然地接受，因为不同厂家技术上存在有差异是很正常的。但是，非常遗憾，居然没有一个厂家可以做到完善的脱壳，甚至包括那些网络上风传的国内国外著名的虚拟机技术。太平洋一个无意中的帖子，内涵很丰富呢！可能是因为低调吧，至少我觉得Symantec和McAfee的扫描引擎比我想象的要好，而俄罗斯两兄弟的引擎，只能说让人有些失望。怪谁呢？只能怪网络中吹得太猛了，到处都在说俄罗斯两兄弟的超强脱壳技术，超强引擎…………

我觉得做主动防御和做扫描是不一样的，主动防御目前主要就是一个微点，先入为主，无论微点做得怎么样，它都是这个行业的第一，而后的再来者也只好模拟微点目前的形态；但扫描就不一样了，扫描基本上每家杀软都有，参照物太多了。既然那么多大公司都不行，那微点这么一个小公司又凭什么能做出突破呢？

所以，我个人并不看好微点要推出的扫描引擎。本来微点的程序实时行为判断在对付加壳的问题上是非常具有优势的，因为行为分析对加壳加花等干扰特征码判断的免杀方法都是天然免疫的。我越发不理解微点为什么非要去碰扫描引擎这个大钉子？只是为了迎合用户使用习惯方面的需求？

PS：补一句，目前微点实时监控对已知病毒的扫描似乎没有加入脱壳技术，我想是因为微点目前的形态根本不需要脱壳机制，微点的行为分析对加壳是天然免疫的！就像前面说的，所有加壳后的病毒在真实环境中运行的第一件事就要自动把自己的马甲脱掉，然后执行程序本体，微点会在这个时刻跳出来干掉它。把话都说明白了，免得有人会用微点已知监控也在用带壳提特征来混淆概念。当然还会有一些特殊情况，譬如说加壳出问题做出的死木马，在任务管理器中的形态是进程闪了一下就退出。这个退出和常见木马的自动退出是不一样的，但是外在表现又差不多，对于这种情况，微点是不会报警的。这时候，建议大家把样本直接发给官方测试，毕竟不是每个人都会分析程序退出原因的，微点也不是万能的，谨慎一点比较好。

也许“明知山有虎，偏向虎山行”是刘旭一贯的风格吧。微点已经树立起难能可贵的高技术形象，希望不要被扫描引擎拖了后腿，影响了主体形象。希望微点能够走好。有兴趣的朋友等微点出了扫描，自己去做测试吧。我怕失望，这次就不自己试验了。

我个人的意见是由于众所周知的原因，微点的资源本来就不富裕，更应该优先调配资源搞网络版，由于微点的架构很独特，所以微点网络版的可管理性可扩展性必然都会非常出色，网络版的优势将非常明显！扬Zhang避短才是上策！

篇后：目前尚缺乏理由看好启发式
启发式非常需要完善的脱壳技术作启发式分析的前期准备，因为只有将加过壳的程序还原为程序本体之后，对静态程序代码进行动态分析的启发式才能真正发挥出它的应用意义，发挥出它分析未知病毒的能力。对于那些脱壳不完善，见到壳就报警的启发式，我们该怎么称呼它们？是不是把它们称为假启发才更合适一些呢？请这些同志就不要给启发式丢人啦！好好的一个技术方向被你们做成了今天这样。就凭脱壳不够完善这一点，我在很Zhang一段时间都没有办法看好启发式，除非先解决好脱壳问题。当然，打着启发式的幌子混饭吃还是不错的，人类社会就是这个样子，无论东西做得多不好，总能卖出去，也总会有人买。

网友Vader做了这样一个关于加壳的复杂测试：测试使用一个绝对正常的文件，用各大著名杀毒软件的在线杀毒测试，当然一切正常没有发现病毒。然后加壳用杀毒软件们扫描，结果真挺逗的，有兴趣的朋友自己看人家的原始试验资料吧。
http://publish.it168.com/2006/1213/20061213016905.shtml

PS：呵呵，最近发现IT168挺有意思的，不怕压力，敢说实话！等我先把手头的专栏做好，以后有机会找IT168骗稿费撒。

※ ※ ※ 本文纯属【恨毒的人】个人意见，与【微点交流论坛】立场无关※ ※ ※

这人很懒~~什么都没写!

2007-8-18 22:54

恨毒的人
中级用户

积分 273
发帖 273
注册 2007-7-9
来自次元空间

#2

字太多了没看完...
大家慢慢看..

※ ※ ※ 本文纯属【恨毒的人】个人意见，与【微点交流论坛】立场无关※ ※ ※

这人很懒~~什么都没写!

2007-8-18 22:55

408983504
银牌会员

此用户已被禁言

积分 1271
发帖 1238
注册 2007-1-6
来自广东

#3

慢慢看...
先顶一下

※ ※ ※ 本文纯属【408983504】个人意见，与【微点交流论坛】立场无关※ ※ ※

三用户版续费真TM的便宜啊！

2007-8-18 23:08

congrong
注册用户

积分 93
发帖 99
注册 2007-8-15

#4

看来，还是需要多多的努力啊

※ ※ ※ 本文纯属【congrong】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-18 23:16

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#5

差不多
我也不看好微点现在去做扫描

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2007-8-19 08:16

hanker
版主

永远的偶像

积分 963
发帖 929
注册 2007-2-28

#6

不错
或许是另有所需吧。哎

※ ※ ※ 本文纯属【hanker】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-20 09:12

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号