» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 转贴 简单修改木马壳头让卡巴斯基哑口无言   作者: 标题: 转贴 简单修改木马壳头让卡巴斯基哑口无言 特别请假一天 新手上路 积分 31 发帖 31 注册 2006-11-9 #1  转贴 简单修改木马壳头让卡巴斯基哑口无言 作者：x140cC from:it168 security 简介：在众多反病毒产品中，卡巴斯基在用户口碑相当不错，很多用户都说卡巴司基的虚拟机脱壳技术很强。然而笔者仅仅对通用的“加壳”步骤进行了小小的调整，却有了惊人的发现——仅通过简单的壳头修改，卡巴大叔竟然无语了。 “小样，你以为你穿了马甲我就不认识你了？”这句台词耳熟能详。现在用户用这句话来形容反病毒厂商的脱壳技术。这项技术的产生与病毒程序编写者使用的“加壳”技术密切相关。 众所周知，所谓“加壳”就是一种通过一系列数学运算，将可执行程序文件或动态链接库文件的编码进行改变，以达到缩小文件体积或加密程序编码的目的。运行时，外壳程序先被执行，然后由这个外壳程序负责将用户原有的程序在内存中解压缩，并把控制权交还给脱壳后的真正程序。一切操作自动完成，用户不知道也无需知道壳程序是如何运行的。一般情况下，加壳程序和未加壳程序的运行结果是一样的。 面对病毒编写者为其病毒“加壳”的问题，反病毒厂商自然而然地采用“脱壳”技术。脱壳的一般流程包括，查壳、寻找OEP（入口点，防止被破解）、Dump（卸出）、修复等步骤。目前，脱壳能力强弱则成为杀毒软件查杀病毒能力如何的重要衡量指标。 病毒编写者与反病毒厂商之间新一轮博弈在“加壳”与“脱壳”两个共生技术之间展开了。 在众多反病毒产品中，卡巴斯基在用户口碑相当不错，很多用户都说卡巴司基的虚拟机脱壳技术很强。然而笔者仅仅对通用的“加壳”步骤进行了小小的调整，却有了惊人的发现——仅通过简单的壳头修改，卡巴大叔竟然无语了。 笔者随便在网络上下了一个国外的下载者Deception4.0(以下简称DT)。卡巴是杀它的，不然测试就没法进行了。虽然只修改了加在DT上的9，但是按照这种方式加在其他的可执行文件上卡巴也是不报毒的，其中修改后的程序保证了程序的可再运行，不然这种修改是无意义的测试。开始操作，下面准备了八个最常见的壳。 以上是列举了八种壳，都是通过壳头的简单修改，就使得卡巴这个号称虚拟脱壳杀毒很强的世界顶级杀软沉默了，当然我们抛开它目前的主动防御杀毒，单从文件查杀上做了一次测试， 从中似乎能分析出卡巴对于脱壳，也似乎是象特征码那样，将壳的特征入库了，然后在利用脱壳引擎把壳脱掉去杀毒。如果这样，那许多壳的特征卡巴只放在了壳的头部，尤其这种压缩形式的壳是这样的，对于某些加密壳，壳头怎样修改都无用。以上也仅仅是一种猜测。 编者：作者通过简单的修改，使一个被杀的下载者逃过了卡巴斯基的查杀。其实，现在很多黑客都会通过修改木马的服务端来躲避杀毒软件的查杀。本文是以卡巴斯基为例子，相信大多数知名的杀毒软件都会遇到这类难题。编者认为杀毒软件对于一个壳不要简单只识别壳的头部来进行识别，取复合的壳特征码，这样会增加查杀力度。另外从KBYS这个压缩壳上也可以看出一个缺陷，卡巴通杀了加这个壳的可执行文件，但是似乎并未进行脱壳后的再查杀，所以只要让这个壳免杀，那加了壳的文件也就免杀了，杀的不彻底。另外，修改的过程中发现对于一些加密壳卡巴的查杀力度较大，这似乎对于不同种类的壳卡巴有不同的态度，但是纠其作为杀毒软件来说，应该是一次性的彻底取特征码。 [ Last edited by Legend on 2007-9-22 at 22:39 ] ※ ※ ※ 本文纯属【特别请假一天】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-9-22 22:03 特别请假一天 新手上路 积分 31 发帖 31 注册 2006-11-9 #2   唉 卡巴至少还有启发主动防御呢 ※ ※ ※ 本文纯属【特别请假一天】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-9-22 22:04 qq2008444 银牌会员 职业潜水艇 积分 5373 发帖 5291 注册 2007-7-7 来自 兰·基亚斯 兰古拉王国 #3   谢谢 收入研究研究 不过能不能过KAV7的主动还是问题 ※ ※ ※ 本文纯属【qq2008444】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟…… 2007-9-22 22:36 恋到受伤 新手上路 积分 6 发帖 6 注册 2007-9-24 #4   呵呵,这是不是真的啊? ※ ※ ※ 本文纯属【恋到受伤】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-9-24 18:38 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号