【读书小结】—— 基于虚拟机的启发式扫描反病毒技术

最新推荐文章于 2024-03-25 08:56:03 发布
VIP文章 最新推荐文章于 2024-03-25 08:56:03 发布
阅读量3.1k 收藏 3
点赞数 1
分类专栏: 安全 病毒 文章标签: 虚拟机 读书 虚拟化 解密 加密 编译器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BetaBin/article/details/7458447
版权
既然谈得是虚拟机的启发式扫描反病毒技术,那么就该介绍下虚拟机、启发式扫描的概念。
虚拟机(VM),在反病毒界被称为通用解密器。具体做法是:用程序代码虚拟一个CPU来,同样也虚拟CPU的各个寄存器,甚至将硬件端口也虚拟出来,用调试程序调入被调的样本,将每一条语句放到虚拟环境中执行,这样就可以通过内存和寄存器以及端口的变化来了解程序的执行。这样的一个虚拟环境就是一个虚拟机。
虚拟机作为原操作系统下的一个应用程序,目标是让程序像运行在单独一台真正的机器上,丝毫察觉不到自己处于VM的控制之下。而实现虚拟技术的关键在于软件虚拟化和硬件虚拟化。
文中给出了三种方案:自含代码虚拟机(SCCE),缓冲代码虚拟机(BCE),有限代码虚拟机(LCE)。
自含代码虚拟机,像是一个真正的CPU,从内存中取出每条指令,然后解码,用自己的例程模拟该指令。该虚拟机会包含一个例程来对内存/寄存器寻址操作数进行解码,然后还包括一个用于模拟每个可能在CPU上执行的指令的例程集。因此,自含代码虚拟机的代码会非常巨大,而且速度会非常慢。
缓冲代码虚拟机,是SCCE的一个缩略版,大概是整合了个通用指令模拟例程,然后剩下的特殊指令单独用例程进行模拟。
最低0.47元/天 解锁文章
BetaBin
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
启发扫描技术
04-20
启发扫描技术启发扫描技术启发扫描技术启发扫描技术启发扫描技术
病毒引擎设计之虚拟查毒篇
weixin_30915951的博客
07-21 191
目录 2.1虚拟概论2.2加密变形病毒2.3虚拟实现技术详解2.4虚拟代码剖析2.4.1不依赖标志寄存器指令模拟函数的分析 2.4.2依赖标志寄存器指令模拟函数的分析2.5虚拟技术 2.虚拟查毒 2.1虚拟概论 近些年,虚拟,在病毒界也被称为通用解密器,已经成为病毒软件中最引人注目的部分,尽管病毒者对于它的运用还远没有达到一个完美的程度,但虚拟以其诸如"病毒指令码模...
【工具分享】一款启发内网扫描工具
最新发布
Python_0011的博客
03-25 615
一款实用的内网扫描工具,可进行网段探测、指纹识别、协议分析、漏洞扫描等,与fscan同类,可以作为代替工具使用。1、所有模块皆采用生产者消费者模型,即生即消。摆脱传统的等待端口扫描结束进行后续的模型。2、所有模块皆采用启发扫描,最少的发包探测目标。摆脱传统的端口绑定以及漏洞探测发包量大的问题。3、强大的WEB指纹支撑,目前指纹900+,指纹识别快人一步。4、极致的应用并发,在暴破模块以及漏洞探测、指纹识别、端口扫描所有模块采用数据原子化的方进行极致的并发。
(转载)病毒引擎设计 --- 虚拟查毒篇
Kendiv's Box
01-17 4094
病毒引擎设计之虚拟查毒篇作者:NJUE 发文时间:2004.01.14  编者按:绪论《病毒引擎设计之绪论篇》我们介绍了病毒技术的发展状况和一些病毒的特点和感染制。下面我们重点对虚拟查毒进行阐述。  目  录2.1虚拟概论2.2加密变形病毒2.3虚拟实现技术详解2.4虚拟代码剖析  2.4.1不依赖标志寄存器指令模拟函数的分析   2.4
Bloodhound:启发扫描技术
weixin_34268753的博客
06-10 790
传统的病毒检测技术依靠数据库中的病毒签名来工作,通过扫描文件内容,与病毒签名进行比对。为了降低误报率并提高扫描速度,签名的长度不能太长,也不能太短。这种方法只能用于检测已知病毒启发,或启发扫描定义了一种新的病毒检测技术,通过分析程序的结构和它的行为来发现病毒,不依赖病毒签名。通过这种新技术病毒扫描程序可以检测出大约70%到80%的未知病毒。但是启发扫描的误...
启发扫描和主动防御技术
11-19
启发扫描和主动防御技术是目前比较先进的病毒技术,本文档就这两种技术进行了详细的介绍和分析
JVM——Java虚拟架构
03-01
Java虚拟(Javavirtualmachine)实现了Java语言最重要的特征:即平台无关性。平台无关性原理:编译后的Java程序(.class文件)由JVM执行。JVM屏蔽了与具体平台相关的信息,使程序可以在多种平台上不加修改地运行。...
虚拟技术详解 病毒病毒技术
01-13
虚拟技术详解 病毒病毒技术 这里的虚拟不是像VMWare那种虚拟系统的,而是虚拟脱壳,相当于OD的动态加载脱壳,与OD的不同是目标文件确实不会运行,也就是说她集合了静态脱壳和动态脱壳的优点,做到了...
技术解析:基于Perl的VMWare虚拟管理
01-30
众所周知,VMWare在虚拟化和云计算基础架构领域处于全球领先地位,所提供的经客户验证的解决方案可通过降低复杂性以及更灵活、敏捷地交付服务来提高IT效率。而旗下的VMWare vSphere是一整套虚拟化应用产品,它包含...
基于云计算的实验平台虚拟容错技术研究
01-27
随着大规模计算技术的发展,虚拟技术已经成为云计算中的重要技术。为了提高云计算实验平台的运行效率,提出了一种虚拟容错制,并进行了研究,详细论述了实现的过程以及关键技术。通过实验表明,该容错技术能...
杀毒软件查杀原理包含启发扫描技术主动防御技术的原理
05-03
包含讲解特征码查杀技术启发扫描技术、主动防御技术的原理。网络上现在暂时还没有的资料。 7.7.1启发扫描 在章节7.1中,我们已经了解了启发扫描的评分原理。而本节对启发扫描的讲解将直接针对NOD32这款杀毒软件的启发扫描。如何躲过NOD32的启发扫描可以说是免杀技术讨论圈子中讨论的最火热的话题了。现在就让大叔给大家揭开NOD32启发扫描的神秘面纱。 NOD32启发扫描的原理十分简单,同其他的启发扫描一样,也 是一种评分原理。举一个简单的例子,一般的下载者程序都要用到两个API,分别是URLDownloadToFile和ShellExecute。 URLDownloadToFile这个API用于将文件下载到本。而ShellExecute这个API用于执行某个文件。这两个API结合使用就可以达到某个文件下载到本地计算并执行的功能了,这也就是下载者的基本功能。 如果一个下载者程序先调用了URLDownloadToFile,而后又调用了ShellExecute。即时ShellExecute。执行的不是URLDownloadToFile下载的文件,NOD32也会将其列为病毒病毒类型就是Downloader.
世界最快专业病毒虚拟
安徽工业大学 小芳(数据库)
09-25 365
瑞星宣布研制出“世界最快专业病毒虚拟”12月15日,《程序员》记者在出席“2009年瑞星云安全技术大会”中获悉:世界上最快的专业病毒虚拟已经研制成功。瑞星在会上宣布,该病毒虚拟将被应用于瑞星杀毒软件2010版,以及瑞星“云安全”平台的病毒自动处理系统之中。根据大会提供的实验室评测数据,这款由瑞星研制的专业研究型虚拟,比原来的传统虚拟运行速度高200倍。据业内专家表示,该
解析虚拟杀毒技术
weixin_33982670的博客
01-27 309
虚拟技术并不是新生事物,杀毒软件提供的启发查毒技术,其本质就是虚拟技术。两款最常见的虚拟软件VMWare和VirtualPC可以虚拟出完整的计算系统,对于已经面世的64位Windows操作系统,也使用了WOW64作为平台,以兼容模运行32位应用程序。2005年Intel和AMD都推出了具备虚拟技术的CPU虚拟化可以帮您将一台物理服务器变成多个“虚拟”系统或分区,以支持多个操作系统...
向探测>病毒虚拟'特征
KD的疯狂实验室
05-19 1587
作为病毒从业者常常使用一些在线虚拟先行检查一下目标程序的性质.不仅方便简洁,还可以防止花不必要的时间在合法的程序上. 但是这样真的那么靠谱吗?其实如果恶意程序能够探测到用来侦查杀软黑盒虚拟结构. 以两个为例子: 1金山火眼 2Comodo
卡巴虚拟启发查毒的绕过方法
ljmwork的专栏
10-14 1150
卡巴虚拟启发查毒的绕过方法 据我了解在卡巴7中就有虚拟启发查毒的功能。国内就有人在BLOG上发表了一篇如何突破卡巴7的虚拟启发查毒的文章[1]。卡巴8和最新的卡巴2010中仍然具有该功能。卡巴斯基不用我多说了,大家都知道。 我最近在网上查到有人说卡巴斯基是俄罗斯国家科学院合作开发的,军方和克里姆林宫专用。这个我还真的不清楚了,请原谅我的无知。我先来说下什么是虚拟
开源杀毒软件
weixin_30387799的博客
08-24 130
Clamav源代码分析   —— 分析版本:0.97.2 前言:       clamav version 0.7版本开始支持windows客户端。0.8rc版本开始支持PE文件的扫描。 分析目标: 1.Clamav杀毒理论基础浅析。 2.Clamav框架实现图示浅析。 3.Clamav关键技术深入。 4.疑问: 1.是否含有虚拟查毒。 2.是否含有主动防御思路。 ...
《黑客免杀攻防学习笔记》——病毒软件与免杀原理
Traxer的学习之路
12-17 1379
1.病毒软件原理与病毒技术介绍 1.1病毒软件工作原理 病毒软件一般由扫描器、病毒库与虚拟组成,并由主程序将他们整合在一起。扫描器用于查杀病毒,大多数病毒软件基本都由多个扫描器组成,病毒库存储着特征码,存储形取决于使用的扫描器,虚拟相当于沙盒。 1.2基于文件扫描病毒技术 可分为“第一代扫描技术”、“第二代扫描技术”和“算法扫描”3种。下面就先简要介绍一下这三种扫描技术
IDAPython插件安装
热门推荐
BetaBin
03-04 1万+
1、器上安装了Python,到Python的官网(http://www.python.org/getit/)下载一个2.6或者2.7的安装包。注意对应操作系统类型及位数。 2、到googlecode上面(http://code.google.com/p/idapython/downloads/list)去下载相应版本的IDAPython。然后解压。注意IDA版本和Python版本都要和自己
OllyDbg小知识【1】修改代码后保存
BetaBin
03-01 1万+
1、选中需要修改的代码行 2、Ctrl+E组合键修改代码 (使用的是自动填充,delete和←键效果看不出,手动输入即可。) 确定。 3、选中修改的该行,Edit → copy to executable。 4、之后会弹出个说明对话框,意思是叫你下次退出时记得保存才能修改。直接确定,然后再在窗口下右键,选中Save file。 5、最后,另存为就OK咯。
云计算openstack——虚拟获取不到ip(13)
06-01
4. 虚拟配置错误:请确保您的虚拟配置正确。如果您使用的是 Linux 虚拟,请确保您已正确配置网络接口。如果您使用的是 Windows 虚拟,请确保您已正确配置网络适配器。 5. 网络故障:检查您的网络是否正常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值