病毒分析 - 特征码提取
资料收集与网络(点击对应标题有原帖地址)
- 特征码
- 什么是特征码
- 怎么提取特征码
- 特征码选取的基本方法
- 1、计算校验和
- 2、提取特征字符串
特征码
什么是特征码
怎么提取特征码
1、不能从数据区提取,因为数据区的内容很容易改变,一旦病毒程序变更版本,改变了数据内容,特征码就会失效。而其它的区块则相对来说保险一些。2、在保持特征码的唯一性的前提下,应当尽量使得特征码短小精悍,从而减少检测过程中的时间与空间的复杂度,提高检测效率。3、经过详细的逆向分析之后选取出来的特征码,才足以将该病毒与其它病毒或正常程序相区别。4、病毒程序的特征码一定不能匹配到普通程序,比如选取病毒入口点的二进制代码,就必然出现误报的情况。5、特征码的长度应当控制在64个字节以内。
特征码选取的基本方法
病毒的特征码可能是病毒的感染标记,也可能是若干计算机指令组成的一段计算机程序。一般使用以下几种方法来提取病毒的特征码
1、计算校验和
这种方法的特点是简单快速,也是我们之前的专杀工具所采用的方式。但是采用这种方法,一种特征码只能匹配一个病毒,即便病毒的变动很小,也需要重新提取特征码,这造成的后果是会使得特征码库过于庞大,一般用于临时提取特征码。所以这种计算校验和的方式不是我们讨论的重点。
2、提取特征字符串
病毒文件中总会存在一些可供识别的字符串,很多时候,这些字符串是某个病毒所特有的,因此这种方式适用于所有病毒的特征码的提取。采用这种方式甚至还能识别某一大类病毒,但是缺点是需要耗费比较多的扫描时间。以“熊猫烧香”病毒为例,经过我们之前的逆向分析可以知道,病毒最开始会使用“xboy”以及“whboy”这两个字符串来进行解密的操作。比如我们尝试一下,在病毒程序的二进制代码中搜索“whboy”:
一般的程序中不会出现“whboy”以及“xboy”这两段字符,因此就可以考虑将这两个字符串或者其中的一个字符串作为“熊猫烧香”病毒的特征码。这样只要对目标程序中的可打印字符串进行检索,如果发现了“whboy”就可以认为目标程序是“熊猫烧香”病毒程序。这样即便是病毒出现了变种,只要它依旧包含有“whboy”,我们就依然能够实现查杀的工作。或者我们也可以考虑使用更长的字符串,比如上图中开始的那32个字节,即“武汉男生感染下载者**”,将其十六进制代码提取出来作为特征码,也是可以的。那么我就将这段字符串作为“熊猫烧香”的特征码。然后可以使用PEiD查看一下该段代码所在的区段:
可见,文件偏移0x0c040位于CODE,即代码区段中,那么其实在进行匹配的时候,我们只要检索目标程序的这个区段就可以了。或者为了方便起见,我们在检测目标程序时,只检测位于文件偏移0x0c040处的字符,如果能够匹配病毒特征码,就认为目标程序是病毒。text区段,也就是代码段中。
当然,从反汇编代码中进行特征码的提取,方法是有很多的,可能每个人都有自己的方法,我也不敢说我所提取出来的特征码就一定满足唯一性等特征,我这里所举的都是最简单的例子
在实际的工作中,对于同一个病毒而言,为了保险起见,特征码可能会选择多处,既有字符串,又有反汇编代码,从而保证检测的准确性。
————————————————
版权声明:本文为CSDN博主「ioio_jy」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/ioio_jy/article/details/51198544
病毒分析 - 特征码提取相关推荐
- 病毒分析报告-熊猫烧香
分析报告 样本名 Worm.Win32.Fujack.p 时间 2017-5-27 平台 Windows 10 病毒分析报告 目录 1.样本概况 3 1.1 样本信息 3 1.2 测试环境 ...
- 病毒分析要掌握的技能
[转载]http://bbs.pediy.com/showthread.php?t=199036 虽然这里面的技能都比较久远了,但是常识还是要了解的 1._declspec(naked) 告诉编译器不 ...
- 计算机pe病毒的感染过程,感染型PE病毒分析与专杀修复工具的开发.pdf
70 现代制造技术 与装备 2014 6 期 总 223 期 感染型PE 病毒分析与专杀修复工具的开发 李西山 (临沂市人民医院,临沂 276003 ) 摘 要:本文对感染技术在病毒发展过程中的地位进 ...
- office病毒分析从0到1
一.office文件格式 office文件格式根据版本可以分为Office2007之前的版本和Office2007之后的版本. Office2007之前的版本为OLE复合格式:doc,dot,xls, ...
- 免疫性属于计算机病毒特征码,基于免疫和代码重定位的计算机病毒特征码提取与检测方法.doc...
基于免疫和代码重定位的计算机病毒特征码提取与检测方法 基于免疫和代码重定位的计算机病毒特征码提取与检测方法 张瑜 LIU Qing-zhong 宋丽萍 罗自强 曹均阔 海南师范大学信息学院 Depar ...
- [病毒分析]熊猫烧香
熊猫烧香病毒分析报告 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3.解决 ...
- 基于内存取证进行stuxnet 病毒分析(上)
基于内存取证进行stuxnet 病毒分析(上) stuxnet病毒翻译过来又叫震网病毒,是美国针对伊朗核电站进行的有组织开发的恶意病毒.主要是利用Windows操作系统未被发现的四个漏洞,可以通过U盘 ...
- WannaCry勒索病毒分析过程**上**
WannaCry勒索如何分析实战 上 我的第一篇博客文章 作为一名大四的网络工程应届毕业生,发自内心的感谢网上的每一位博主,感谢网上的每一位大佬愿意分享自己的经验.我才可以在网上学到如此多的知识.我在 ...
- 3601-lpk.dll劫持病毒分析
文章目录 3601-lpk.dll劫持病毒分析 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 1.4 样本行为概述 2.具体行为分析 2.1 主要行为 2.2 提取恶意代码 ...
- Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程
Net-Worm.Win32.Kido.ih蠕虫病毒分析+专杀工具源代码+手工清除全过程 ...
最新文章
- 【怎样写代码】参数化类型 -- 泛型(九):泛型代码中的default关键字
- 自动化测试工具的选择
- 怎么通过media foundation将图像数据写入虚拟摄像头_不知道怎么挑手机?性价比神机绝对适合你...
- Mysql分区对大表查询效率的影响
- 数据结构与算法--2.数组的定位排序
- mysql 装载dump文件_mysql命令、mysqldump命令找不到解决
- 《Entity Framework 6 Recipes》中文翻译系列 (15) -----第三章 查询之与列表值比较和过滤关联实体...
- microsoft sql server无法删除_分享一则生产数据库sql优化案例:从无法删除到耗时20秒
- 89C51单片机内部结构深度解析
- 更改OneDrive网页版OneNote笔记使用桌面应用打开时的默认应用
- 机器学习十大经典算法入门
- mysql怎么改gm_MySQL修改密码的几种方式
- 下载安装anaconda
- L1-068 调和平均 (10 分)
- 单片机c语言sfr,51单片机bit、sbin、sfr、sfr_16区别分析
- Hacker Fest: 2019-Walkthrough【VulnHub靶场】渗透测试实战系列3
- 【MySQL】MySQL表的增删改查(进阶)
- jQuery的版本比较及使用
- 计算机应用 pdf,计算机应用70546.pdf
- Win 10安装Microsoft .NET Framework 3.5