asusp4b533 2008-8-25 10:40
SearchGUI 啟發引擎原形 更新20080825(加入測殼引擎)
這次更新加入了測殼引擎(我相信有些人會反對),但是經過和upside大討論後,認為一般正常的程式大多不會去加殼
所以最後還是開發測殼引擎(其實應該是自己技術不足,只能用這種方法:'( ),並且大幅提升了偵測率,誤判率則小幅提升,到時候會用白名單解決
目前測試AVPClub 18號樣本包偵測率提升到74.2%:)
GUI8.exe是需要.Net Framework 3.5的版本
GUI6.exe是不需要.Net Framework的版本
GUI6.exe介面在顯示掃描結果還是怪怪的,可以去程式資料夾下的log.txt查看結果
另外似乎不需要.Net Framework版本的引擎效能比較低,所以我是推薦裝.Net Framework 3.5(介面也比較漂亮)
下載[url]http://www.mediafire.com/?sharekey=d97fabbac49d9de7d2db6fb9a8902bda[/url]
PS:GUI上面有兩張圖 一張是我的Logo 另一張藍色的看有沒有人能認出來:o
[[i] 本帖最後由 asusp4b533 於 2008-8-25 10:46 編輯 [/i]]
sun88990 2008-8-25 12:13
回復 1# 的帖子
有加入定義名稱嗎?
這樣誤報應該也比較好解決吧!!
--
剛測試了一下,怎麼都是報啟發式?:quuu:
[[i] 本帖最後由 sun88990 於 2008-8-25 12:18 編輯 [/i]]
小C 2008-8-25 13:23
因為它只有啟發引擎還沒有病毒資料庫
原形又更新了 等很久了 :)
asusp4b533 2008-8-25 13:40
這個只是單純的啟發式引擎
主要是要加入fanks大或upside大的工具中,跟他們的特徵碼引擎結合:)
000110 2008-8-25 22:06
小弟對測殼引擎很有興趣, 很想知道它對運作方式
ps. 不介意的話, 有130款殼等待著大大:)
asusp4b533 2008-8-25 22:11
回復 5# 的帖子
我的測殼引擎非常簡單(重點在不能脫殼:L )
主要靠加殼後特有的特徵判斷(一部分也是感染型病毒的特徵)
用很"圓通"的方式:fdqyt:
大大可以試試130種殼能測到幾隻:o (掃描報告中寫ScanShellEng就代表由測殼引擎報的)
[[i] 本帖最後由 asusp4b533 於 2008-8-25 22:14 編輯 [/i]]
000110 2008-8-25 22:22
回復 6# 的帖子
應該是與peid 的 user-defined database 的方式差不多吧:quuu:
該130種殼是加殼工具, 有空加殼後測試一下:o
不過話說外國有一網站包含大部份常用的已加殼檔案 (成立的目的是希望有人脫殼並提供脫殼 的方式), 對大大可能有幫助, 不過網址要再找找:fdqyt: :fdqyt:
asusp4b533 2008-8-25 22:26
回復 7# 的帖子
我測殼是用一個很簡單的方式,可能跟大大檔的那種不太一樣(我的比較簡陋:fdqyt: ),不過效果似乎還不錯;ya:
我目前不打算加專一性的脫殼引擎,因為新的加殼出現速度太快了,我認為這樣效果不好
要玩脫殼就要玩"虛擬機脫殼技術":P
[[i] 本帖最後由 asusp4b533 於 2008-8-25 22:29 編輯 [/i]]
000110 2008-8-25 22:40
老實說, 小弟不太清楚目前的大部份防毒軟體採用 "脫殼" 與 "虛擬機脫殼技術" 的分別
小弟認為要脫殼就要使用類似debug程式的反匯編, 先追蹤, 定位, 斷點....
那麼, 大部份防毒軟體採用 "脫殼", 是指先判斷檔案的加殼程式, 然後透過內置的script把殼脫掉?
而"虛擬機脫殼技術"究竟是虛疑執行, 誘發實體, 還是ai方式執行追蹤, 定位, 斷點等指令把殼脫掉?
asusp4b533 2008-8-25 22:59
回復 9# 的帖子
一般的專一性脫殼,是靠先判斷出殼的種類,在使用對應的解密運算進行脫殼
但是如果殼稍微經過變形,可能就沒辦法脫了
這種方法優點是 效率高 缺點是 如果碰到一些不知名的殼就沒辦法脫了
虛擬機脫殼就是先建立一個虛擬的環境,在這個環境中運行要脫殼的程式(在虛擬環境中運行防止程式可能會危害真正的系統)
等程式自己脫玩殼後(一般加過殼的程式在運行時會先自己把自己脫殼,然後才運行真正的程式),在將記憶體中已脫玩殼的程式寫回檔案(當然還要經過一些處理),這樣那個檔案就是脫完殼的程式了
這樣好處是不管遇到哪種殼,幾乎都有辦法脫 缺點是效率較低 而且有些殼會偵測是否在虛擬環境中運行 如果發現是在虛擬環境中,就會自動終止
大大說的Debug 反組譯 中斷 比較像是虛擬機脫殼的方法
[[i] 本帖最後由 asusp4b533 於 2008-8-25 23:01 編輯 [/i]]
000110 2008-8-25 23:02
回復 10# 的帖子
如果可以, 那麼大大的掃瞄引擎就採用兩種脫殼方式
首先, 一般的專一性脫殼, 不行就進行虛擬機脫殼
不過應該會很難:Q :Q
[quote]
大大說的Debug 反組譯 中斷 比較像是虛擬機脫殼的方法[/quote]
如果是等程式自己脫玩殼後(一般加過殼的程式在運行時會先自己把自己脫殼,然後才運行真正的程式),在將記憶體中已脫玩殼的程式寫回檔案(當然還要經過一些處理),這樣那個檔案就是脫完殼的程式了
那應該不是了, 用Debug 反組譯 中斷, 是正常脫殼的方法
[[i] 本帖最後由 000110 於 2008-8-25 23:05 編輯 [/i]]
asusp4b533 2008-8-26 08:50
回復 11# 的帖子
如果能做虛擬機 那就真的太強了(在虛擬機中做動態啟發;ya: )
技術不足呀:'(
sun88990 2008-9-25 17:09
回復 1# 的帖子
回報一下:
McAfee把裡面很多東西都殺光了..:fdqyt:
asusp4b533 2008-10-25 23:12
回復 13# 的帖子
理論上我的程式應該是沒什麼可疑片段才對:hangg
頁:
[1]