编写简易病毒扫描程序.pptVIP

朱峰 everettjf 什么是计算机病毒 反病毒技术的发展 分析计算机病毒 编写简易病毒扫描程序 1960s 贝尔实验室 磁芯存储器 雏形 传播性 隐蔽性 感染性 潜伏性 木马、僵尸网络（僵尸或称肉鸡，DDOS） 有害软件（蠕虫、间谍软件、流氓软件、恶作剧软件） 脚本病毒（宏病毒） 文件型病毒（感染文件，寄宿在可执行文件等） 女鬼病毒 2000年 台湾地区发作时曾经使人因为惊吓过度，在送往医院救治后死亡 下面是演示，“小心” 火焰 - 伊朗石油部门商业情报 2012年发现 追朔到2007年 震网 - 伊朗核设施 毒区 - 伊朗工业控制数据 扫描器 病毒库 虚拟机 字符串扫描技术 通配符扫描技术 文件路径？No. 智能扫描法 近似精确匹配法 多套特征 校验和，分块校验，密码校验等 骨架扫描法 精确识别法 内存特征 应对加壳程序 行为特征 复制文件到system32下，自启动，自删除 主动防御 微点 360安全卫士的ZhuDongFangYu.exe 利用服务器能力 大量客户端上报可疑文件 360的QVM、云引擎、小红伞、BitDefender 机器学习 神经网络 例如： 360QVM Qihoo Support Vector Machine 海量的白名单及病毒样本 专利链接 导入表 Import Address Table 导出表 程序入口点 节 可执行程序资源压缩 本意为保护文件 特殊的算法 在内存中解压 加壳前后比较 金山火眼 / VirusScan / / IDA Pro PEView PEiD Sysinternals - string , autorun … Dependency Walker … 昆明癫痫病医院 昆明治疗癫痫病 昆明癫痫病专科医院 昆明治疗癫痫病医院 昆明治疗癫痫病专科医院 昆明最好的癫痫病医院 昆明羊角风医院 昆明治疗羊角风 昆明治疗羊角风医院 昆明羊角风专科医院 昆明治疗羊角风专科医院 昆明最好的羊角风医院 昆明军海医院 昆明军海脑科医院 昆明军海医院脑科 OllyDbg Windbg WireShark … File Size Import Address Table Section Resource (Version, Company) Packer SVM - Support Vector Machine 监督学习算法 svm-toy.exe / Ruby rb-libsvm pedump sqlite3 imports : string list sections : string list packer : string version : string company : string 所有属性顺序组合 转换为一个vector sqlite3 存储IAT 与 section的name和weight libsvm.train predict 需要大量的样本 训练大量样本 降低误报率 加入更多关键的特征，例如OEP是否修改、数字签名 自学习 《加密与解密》 《计算机病毒防范艺术》 《病毒分析实战》 《黑客免杀攻防》 《集体智慧编程》 《模式分类》 《统计学习方法》 C++程序猿 渗透测试初学 参数调整 剩余问题 GitHub/everettjf/RubySVMVirusScanner QVM xiao70 me 相关书籍 IMAGE_DOS_HEADER MZMS-DOS最初的架构师Mark Zbikowski IMAGE_NT_HEADERS IMAGE_SECTION_HEADERS 概念 加壳 UPX 在线自动分析工具 金山火眼 VirS 静态分析 动态分析 工具分享/s/1kTrAYAb 看雪学院 / 编写简易病毒扫描程序 简易，扫描，基于文件 Feature-based 思想 PE 文件 - 操作系统 人 - 世界 思想 CreateFile 笔 思想 CreateService 小刀 思想 SetWindowsHook 枪 CreateRemoteThread 思想 .text .rdata .data .rsrc .reloc 思想 .upx .upx1 机器学习 获取病毒样本 开始开发 pedump获取文件属性 将文件属性，转换为vector 将IAT和Section转换为vector 训练模型 测试模型 Text 编写简易病毒扫描程序 什么是计算机病毒 1949年 冯·诺伊曼 《Theory of self-reproducing automata》 “能够实际复制自身的自动机” WikiPedia 是一种在人为或非人为的情况下产生的、在用户不知情或未批准下， 能自我复制或运行的电脑程序。 参考：/wiki/Comp