卡饭论坛 » 国内杀毒软件讨论区 » 超级巡警 » 畅游巡警技术内幕分析(部分)

19881419 发表于 2008-7-8 22:33

畅游巡警技术内幕分析(部分)

前阵子看到JPZY的贴，萌生了逆向分析一下畅游的技术，因为畅游不是简单的使用了库，还有实时脚本高启发扫描技术。本文就针对这种技术进行一些分析。

首先纠正一个误解，许多人觉得畅游比较小，还这么NB是不可能的，其实对畅游巡警的主文件脱壳后，发现大小3M多，根本不是大家想像的那么小。废话不说了，贴图。

[attach]306125[/attach]

这是畅游巡警的虚拟机入口，从这里开始，将走入一大段很长的虚拟机代码，看着很晕。不过好在我的强大的毅力下，走过去了。

畅游巡警首先会装载自己必须的库，然后从内核中查找几个必须的API，最后就游荡的虚拟指令代码中。
直到。。。。 我激活了一个使用了脚本加密工具加密的测试木马网页。
在激活后，畅游巡警在IE解释器解释网页之前拦截了这个脚本，开始对脚本进行分析，下图是分析脚本代码调用。

[attach]306128[/attach]

注意：从下面的CALL调用中，将开始对脚本全面的解析，其中解析过程大约有15个左右的函数，具体记不清楚了，代码超多，这里贴个关键的。

[attach]306127[/attach]

畅游首先会判断网页是否是加密网页，如果是则对网页动态进行解密，下图即将解密指针传递给解密代码。

解密后，网页变成了明文状态，然后畅游又激活10个左右的分析分支对脚本进行启发检测，代码超多，算法复杂，看这个地方太累，直接给出分析结果，在分析完成后，堆栈中明确出现脚本木马名称。

[attach]306126[/attach]

先写这些，分析这东西太累了，睡了。。。有空在看启发算法。

雨的感觉 发表于 2008-7-8 23:52

ＬＺ超厉害！！[:05:]

　　　　　　　　先抢个沙发！！！

　　　学习了！！

huai168an 发表于 2008-7-8 23:54

高手啊，崇拜

nEINEI 发表于 2008-7-9 09:39

技术贴，顶一下。

safepods 发表于 2008-7-9 09:50

学习一下。

axdr2100 发表于 2008-7-9 09:56

晕了，完全看不懂[:08:]

封－印 发表于 2008-7-9 10:00

此贴必火！！

Deker 发表于 2008-7-9 10:00

我也来学习  呵呵
BTW:楼主用的哪个工具  我认识  是OllyICE  以前见过[:10:]

cleveland007 发表于 2008-7-9 10:04

佩服LZ的求知欲
先顶再细看

wolf3t 发表于 2008-7-9 10:56

这个帖子，应该可以让大家简单了解一下畅游的运作机制了，还会有人再说畅游是单纯依靠病毒库或简单特征串来报警吗？呵呵……

always 发表于 2008-7-10 00:45

高手...
LZ你是我的偶像[:14:]

huai168an 发表于 2008-7-10 19:59

楼主揭开了我一直用畅游的秘密了[:20:]

shery0000 发表于 2008-7-10 20:02

[:13:] 很强,先收藏....

左手 发表于 2008-7-10 21:57

看的头晕，你强呀，LZ~~~~~~~~~~

maxutao 发表于 2008-7-10 22:11

太强了

技术好贴[:13:]

fsr717af 发表于 2008-7-10 22:25

[:15:] 完了   半点没看懂
[:08:] ........

Seal_qi 发表于 2008-7-11 11:53

帖子很好，可是我看不懂[:07:]

FBAV 发表于 2008-7-11 12:15

我要看启发……

jpzy 发表于 2008-7-11 12:24

呵呵，脚本分析部分采用了高启发啊~！
黑白名单+脚本分析启发~！
畅游还是不错的！

mervenchen 发表于 2008-7-11 14:03

无限崇拜呀。楼主继续呀。

查看完整版本: 畅游巡警技术内幕分析(部分)