首页 > 安全资讯 >

卡巴斯基杀毒操作流程图(个人猜想,非官方)

05-11-09

猜的 1首先卡巴一定会检查是否为有效PE文件,如果是的话还要进行解压,脱壳,提取资源等,这里不做分析所以在出现了多重复合型特征码后,用ccl进行32字节定位时会出现除PE特征全杀的情况 2用一处地方就可以定位文件身份,符合就报毒,不符合



猜的

1
首先卡巴一定会检查是否为有效PE文件,如果是的话还要进行解压,脱壳,提取资源等,这里不做分析
所以在出现了多重复合型特征码后,用ccl进行32字节定位时会出现除PE特征全杀的情况

2
用一处地方就可以定位文件身份,符合就报毒,不符合就检查其它的数据

3
查毒时,主特征码是充分条件,辅特征码是必要条件,基关系可以由and及or等逻辑关系表达,通常找到所有的主特征及至少一处辅特征就可以达到免杀效果

4
与前两个步骤不同,身份特征被检查出来后,并不报毒,而是进行0区特征的检查,有效的控制代码转移这一流行的免杀方式,逻辑关系应该是not (00)

5
查看原有的程序间隙有没有被添加代码,在此区域中,出现任何一个非0的数据就会报毒

前三步是确定存在的,后两个不确定存在(至少不是每只木马上都存在),只在某日在某木马上出现过这个情况,就是替换掉所有主辅特征后不报毒,在0区改一个字节就报毒.而且当天成功的找到非0区特征的准确范围.奇怪的是第二天好像就没有了,不知道是卡巴在测试还是我的电脑有问题.............

以上属于个人猜想,如与卡巴不幸雷同....纯属聪明!

相关文章
最新文章
热点推荐