行为引擎无法防御熊猫烧香及行为原理的思考 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛个人产品讨论区 瑞星杀毒软件 瑞星杀毒软件2011 行为引擎无法防御熊猫烧香及行为原理的思考

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十四次通过VB100测评		瑞星推出“1+2”全新解决方案建立网端协同智能防御体系		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[转载] 行为引擎无法防御熊猫烧香及行为原理的思考

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-04-08 13:36 \| 只看楼主短消息资料字号：小中大 1楼行为引擎无法防御熊猫烧香及行为原理的思考木马防御和系统内核加固级别调到了最高（系统内核加固去掉对“创建子进程”的监控），关闭文件监控，然后运行了如下样本：小星星尽管系统内核加固有提示说“更改开机自启动项”和“更改EXE文件关联”，可是点击阻止后，全盘的EXE文件依旧变成了可爱的小熊猫。。。但有意思的，给这些个样本用 ASPACK 加个壳，瑞星居然就报“未知木马”了在瑞星2009的时代，就已经注意到当时瑞星的“木马防御”其实依旧是一种特征码比对，只是通过“行为防御”的形式报出来而已，当时只需要把木马的某些特定的asic码修改后，即可突破瑞星所谓的木马防御。刚刚又在网上找了下关于免杀瑞星2011的资料，发现其突破方法和瑞星2009 很相似~~嘿嘿。。。所以我严重怀疑是瑞星针对此类样本有过 “带壳提取特征值”，于是样本加壳后，导致了某些被定义为了“特征值”的asic码又重新出现。。。另外附件里附上ASpack加壳工具，使用方法，打开后它会让你选择要加载的语言文件，点击那个唯一的INI文件之后软件即可打开，然后按照提示操作即可用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10 附件: 文件名:熊猫烧香变种.rar 下载次数:218 文件类型:application/octet-stream 文件大小: 上传时间:2011-4-8 13:38:51 描述:rar 附件: 文件名:ASPack.rar 下载次数:163 文件类型:application/octet-stream 文件大小: 上传时间:2011-4-8 13:38:51 描述:rar shulun743 最后编辑于 2011-04-08 13:38:51
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	分享到：

shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:	发表于： 2011-04-08 13:42 \| 只看楼主短消息资料字号：小中大 2楼回复：行为引擎无法防御熊猫烧香及行为原理的思考两个问题： 1、熊猫带有签名木马防御不报，但一加壳行为就报警！ 2、瑞星系统加固报警-----但拦截失败，系统产生一堆熊猫请测试并改进
shulun743 特邀体验者帖子:4192 注册: 2007-11-06 来自:

Zcdgsa 初生襁褓狮帖子:21 注册: 2007-05-30 来自:	发表于： 2011-04-08 14:21 \| 短消息资料字号：小中大 3楼回复：行为引擎无法防御熊猫烧香及行为原理的思考瑞星现在就是，只要一看见签名，不管真假，一律相信是真的。我昨晚也遇到我在SYETEM32目录中新建EXE文件系统加固（我的是高级）不报，但等会儿它又报了，不晓得是啥原因？
Zcdgsa 初生襁褓狮帖子:21 注册: 2007-05-30 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-04-08 14:25 \| 短消息资料字号：小中大 4楼回复 1F shulun743 的帖子此问题已收集反馈。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT