Posts

[Linxer]AV引擎之虚拟机脱壳技术

2007-09-01

在Linxer加入到超级巡警开发团队后，虚拟脱壳机的脱壳能力，让不少原先一直认为国内反病毒、反木马领域脱壳能力远落后于欧美的人们，跌了一回眼镜，多谢Linxer ;)

这回XCON 2007上，Linxer讲了个议题《AV引擎之虚拟机脱壳技术》，有不少朋友感兴趣，将PPT放出来供大家下载，一个供测试的脱壳机，可以在俺们主站下载。目前：

我们的工作
– 目前的脱壳支持能力（经过测试验证支持的壳列表包括57种300个版本）
– 准确解密和模拟跟踪方案
VMUnpacker 引擎SDK（欢迎同行联系脱壳引擎的合作事宜，可以发邮件到unpacker@unnoo.com）
– 无需关心脱壳过程和脱壳方法
– 支持将壳脱到文件和脱到内存缓冲区,并且直接返回OEP

大成天下数据安全实验室总结的壳排行列表（http://dswlab.com/toppacker.html）如下：

排名

超级巡警保险箱1.0 beta

2007-08-25

#Startup

拖了差不多一年了，超级巡警的这个保险箱一直还在内部的beta测试中，直到360推出了他们的保险箱……

看来，公司要考虑的，远不止是技术领先啊。

** 超级巡警保险箱 V1.0 beta 测试版**

您还在QQ、网游、网银账号被盗担心么？

超级巡警的保险箱的功能，是我们特别为账号保护设计的功能，全面保护你的账号安全。

正常情况下，木马后门会通过各种方式，侵入我们使用的程序空间，来窃取你的密码，监听你的聊天记录。

保险箱杜绝了目前木马侵入用户进程空间的办法，即使你在中了木马的机子上网、聊QQ，你的QQ密码依然安然无恙。原因很简单，我们拒绝了一切非法的对QQ进程空间的操作。使得各种盗号手段失效。

当用来保护IE后，目前流行的各种插入IE反弹的木马全部失效，原因很简单，无法打开和插入IE进程，无法在IE中创建远线程，窃取各种IE密码的网银盗号程序失效，因为不允许任何第三方钩子挂入，无论是键盘钩子还是消息钩子。

使用方法（以保护IE为例）：

1、启动超级巡警保险箱

2、点添加按钮，将我们要保护的程序添加到进来(IE 安装目录，一般是：c:\Program Files\Internet Explorer\，IEXPLORE.EXE添加进来)。

3、双击列表中的显示IEXPLORE.EXE那行，启动IE上网。此时保险箱会提示你IE已经被超级巡警保险箱保护。

4、安心畅游网络。

5、当关闭IE的时候，超级巡警保险箱会提示IE结束，并告诉你拦截了一些试图插入IE进程的程序模块，对于专业人员而言，可以通过拦截的模块分析，发现到机子中的恶意木马，普通用户不用理会。

点击下载超级巡警保险箱1.0 BETA，可能未必非常稳定，帮俺们测试的朋友们，请稍加留心，不要在重要的服务器上使用 :)

多跟研发交流还是有好处的

2007-08-25

#Startup

今天下午，研发部门开会讨论用户反馈的新需求以及对实现的路线做些推敲，我厚着脸皮凑上去旁听（其实也听不懂多少了），结果感觉，还是大有收获。

比如，前些时候，在某个论坛上看到有网友在咨询：“使用文档加密产品的时候，如果计算机突然断电，是否文档的损坏机率会增大很多？”

我的第一反应是：那是当然……假设一个50兆的图纸，未加密时存盘，可能耗时5秒。可是如果用高强度的算法加密，这一存盘，可能就花上个8秒9秒了，要是非要在存一半时嘎奔一声断了电，那谁也没戏。

所以，有时候用户问起这类问题，我让销售回应的是：如果对可靠性要求高，那建议上个UPS，否则，即使是不上铁卷，AutoCAD写文件写到一半断电，照样得丢文档。

结果，今儿才知道，原来glacier N久以前，就用了个很简单的办法，避开了这个问题，所以，俺们以后可以很得意地说：“放心吧，用铁卷，即使突然断电，只要你硬盘没坏，那最多你没存盘的东西丢了，文件是不会坏的。”可是glacier没把这当回事，也不认为这个特性值得宣传──不知道铁卷里还有多少这样的小特点，glacier同学若无其事地没跟我说呢……

看来，多跟研发交流，还是有好处，而且非常有必要的 :)