| 本站网友 匿名 |
2016-05-21 22:27:16 发表 |
| 别洗手哈 |
| |
|
| 本站网友 匿名 |
2016-05-09 04:46:32 发表 |
[1/4]
我也像先辈泡友学习, 写个科普段子吧...
现在做杀毒的, 基本原理就是扫描文件的特征代码段(基本固定的pattern, 有时候用regex匹配一下); 所以, 最耗时(也是最需要经验和creativity)的一段工序主要是对恶意程序进行reverse engineering, 然后寻找通用的相对稳定的pattern.
|
| |
|
| 本站网友 匿名 |
2016-05-09 04:45:20 发表 |
[2/4]
但是近10年出现的一个问题是, 很多恶意程序(比如我们的z0mbie,还有mental driller, 等前辈)使用了变形代码(就是把固定的pattern变一下, 比如说吧, 如果需要计算 a = a+ 1; 他们可能会写一个变形引擎随机的产生 a = a+2-1; 当然, 用的是机器码...这个变形了以后是不会再被编译器优化的, 要不然又一样了).
这样一来, 就没有固定的pattern了 |
| |
|
| 本站网友 匿名 |
2016-05-09 04:43:53 发表 |
[3.0/4]
但现在那帮安全工程师(貌似最先从trendmicro开始的)就想了个办法, 就是在他们的中_央服务器对他们收集到的所有文件(恶意和非恶意的)hash后存起来(当然这样的公司应该一般都会把原始文件存在他们的数据库里, 不仅仅只是hash码, 用hash只是让数据量小一些); 然后每次扫描某个文件的时候, 他们就把该文件的hash码上传到中_央服务器上, 然后看看是不是出现的频率很高. |
| |
|
| 本站网友 匿名 |
2016-05-09 04:36:28 发表 |
[3.5/4]
他们的一个基本假设就是, 良性文件用的人很多, 所以出现的频率会一般比较高, 而如果是刻意变形的恶意代码, 因为恶意作者试图消除固定的pattern, 所以这些文件没有固定的hash(换句话说, 就是某个hash的出现频率比较低). 换句话说, 如果是随机的, 那么就用随机本身作为特征来识别随机...
|
| |
|
| 本站网友 匿名 |
2016-05-09 04:32:19 发表 |
[4/4]
然后呢,360就学习了这个技巧,但他们走得更远, 基本上把用户的一举一动都上传到他们的服务器上了. 如果我们的SB政府哪天paraoia犯病了, 就去360的数据库上面查每个人的电脑/手机使用方式...
所以,千万不能用国产的这些软件. 虽然有些外国公司也检测用户的行为, 但他们一般不会把数据给SB政府). 唉, 在中国做软件, 政府无时不刻不在你旁边, "嗡嗡嗡...嘤嘤嘤..." |
| |
|
| 本站网友 匿名 |
2016-05-09 04:29:07 发表 |
[B/4]
写到这里, 给耐心看到最后的, 并且喜欢技术的泡友们一个bonus: 最新一期的phrack杂志前天终于出版了,
phrack.org/issues/69/1.html
唉, 上一期还是4年前出的... |
| |
|
网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述
|