很多人一直注重於攻,而輕視於防。
攻在於創新,防在於全面。
用計算機的術語來說,攻是個單執行緒任務,你單核cpu頻率越高,則效果愈好。防則是個多執行緒任務,你cpu核心越多,則效果俞佳。
上面是前言,下面說webshell的查殺
其實和pc一樣,如安卓的惡意**木馬 和linux的惡意映象源。一樣的道路,web也要過一遍,pc端防毒也是幾個階段。
從最初的專殺到特徵碼查殺再到基於行為的查殺(啟發式查殺),再到最近炒得火熱的雲查殺。
說句題外話:所謂的雲查殺更像是基於網路的特徵碼查殺。
同理:伺服器上的webshell查殺也需要走特徵碼的路線,在現在硬體水平高於網路通訊頻寬的情況下,特徵碼還是非常必要的,
接下來的就是講webshell的特徵碼問題。
依據pc端病毒特徵碼的原理:根據執行檔案如pe檔案,從各個段提出多個特徵碼進行多對一的對映定位(這個主要是為了防止類此myccl之類的過免殺),這種提取的方式有很多種,大部分高效的做法還是經驗豐富的病毒分析師憑經驗定位特徵碼。
如pc端病毒特徵碼類似,但又不盡相同,pc端的病毒是以執行檔案存在的,提取特徵碼只是在機器碼-反彙編**的基礎上進行定位的。而webshell是以原始碼的形式進行定位。機器碼是最底層的語言,定的很死,比如我們od中常用的int3 就是0cch一一對應,不會再變。而webshell使用高階指令碼語言,高階語言的寫法是存在多樣性,如php中的各種字串操作函式,這無疑增加了定位特徵碼的難度。
其實,現實是這樣的對於大馬的查殺是相對容易的,無論php,asp,.net的大馬,他們中呼叫的一些函式是普通指令碼**不會用到,所以可以以這些特殊函式為正則匹配規則,進行匹配。(大部分的伺服器安全軟體也是這樣做的)當然這樣做的結果,會出現誤殺的情況,因此要借用多重特徵碼進行匹配。一些做免殺的朋友,可能就笑了,這太好過了,直接做下字串拆分,然後在連線,或者寫個加解密,再或者加混淆**輕鬆就過了。
這樣理論上是對的,但是實際中忽略了電腦硬體的能力,對於2^32的運算一般配置的電腦也不會超過10秒,對於各種字串加解密我們可以對與加解密運算的字元進行匹配,然後查殺設計要加入語義分析,如果學過編譯原理的應該熟悉,對匹配到的字串加減操作進行還原進行最終的匹配。
對於一句話木馬的查殺則比較麻煩,因為變異的一句話木馬有些是用的web應用程式正常呼叫的函式,再加上些變形,查殺是比較棘手,這種查殺則需要進行大量的樣本收集,對其進行特徵碼提取。
特徵碼的提取可採用統計學中的取樣方法,取一定數量的樣本(包括正常樣本和網馬樣本),對其進行異樣提取,再對各類樣本進行同樣提取,再通過出現概率在進行新增。最終生成特徵碼樣本。
這樣基本對已知存在的一句話木馬匹配到。
對於特徵碼的匹配演算法尚在測試中。
有問題或者建議:qq124839584或者blog:http://livers,sinaapp.com
new Malware j查殺方法
new malware.j查殺方法 題記1 今天你中了嗎?如果沒中,不必著急。我是比較欽佩這個 特洛伊 敵人的,很有思維的乙個病毒,至少微軟和各大防毒軟體拿它沒辦法。題記2 如果你深入了解,你會發現,new malware.j只是表面現象,後面還有更狠的呢。一 症狀 症狀1 防毒軟體反覆彈出警告.比...
Search For 病毒查殺
整理 wangyugang 日期 25 oct 2004 出處 http blog.csdn.wangyugang 版本 0.01 今天早上開啟sharpreader,正想看是否有新的文章沒有.突然跳出乙個 search for 字樣的頁面,隨後又自動的開啟乙個頁面,告訴我機器上存在著spyware...
Excle Word程序查殺
公司專案上大量用到excel word匯入匯出,最頭疼的就是程序常駐後台,呼叫quite dispose還是有然後就想到了以下方法.是貼上的不能保留樣式,高手勿噴.system.diagnostics.process process system.diagnostics.process.getpro...