KV这些属于脱壳型,咔吧有虚拟机也有脱壳 NOD则是超职能的虚拟机
以至于很多人过不去 在下研究很长时间 虽然每个马都侥幸过了NOD32 但是没找到通用的方法,难知道NOD的判断标准
一般的杀软 我认为加壳 改壳可以轻松过文件查杀,就是内存查杀不知道怎么过
内存SCM一下就可以了,另外带个驱动可保护内存~~
AV用模拟器脱壳,大概有两类用法吧
1、用识别壳的特征扫描文件,判定文件有没有壳,或者判定文件被加了什么壳;根据不同的壳采用静态或动态(模拟器)方法脱壳。
2、不用识别壳,在特征码扫描前或后,直接让文件进入模拟器中进行处理,如果有结果,再用特征码扫描脱出来的东西。
对于第一种方法,只要你的壳不能被识别,它就不能检测到你被加壳的带毒文件(加壳前能识别)
对于第二种方法,你就得对它的模拟器有一些了解才能对付。
(第二种方法是牺牲性能来达到设计者想要的“理想状态的”-_-!)
第一种方法的对付方法就不讨论了。说说第二种方法的一些问题吧,既然叫“模拟器”,它就是不真实的,它是受控的,模拟器要让被模拟执行的文件在适当的时候、尽可能快、尽可能准确的退出模拟执行,就一定会设置许多退出模拟执行的条件。
由于设计模拟器的目的是用来进行脱壳、检测加密/变形病毒,所以设计者一定会对流行的壳、以及病毒解密规律进行总结,然后根据总结出来的规律对模拟器退出条件进行设置。所以,要避开模拟器,你就得进行类似的工作。
问几个问题,或许对你有用处:
API被调用了,是不是被模拟执行的程序到功能部分了?如果模拟器继续执行下去,病毒有没有可能就被运行起来了?
是不是所有的API调用都是模拟器终止的条件?许多壳都会在解壳过程中调用API进行内存分配、修复IAT等。
由于模拟器不是真实的机器,对内存、栈的处理会跟系统一样吗?前面有朋友提到,不是所有的指令都会被模拟执行的。
指令IP大跨度转移,循环次数会不会是脱壳、解密的结束特征?
如何在模拟器成功脱出文件之前,触发模拟器退出条件,或者让模拟器垮掉,就是躲避模拟器脱壳检测的关键。
对于用模拟器扫描病毒,什么文件进入模拟器(效率)、什么时候退出模拟器(安全、稳定)这些问题也是技术的关键(可惜,许多立志要用模拟器(虚拟机)解决加密、变形病毒的人,以为做个模拟器是技术的体现)
13万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
