【安全工具】看我如何逆向卡巴斯基引擎实现对机密文件的检测

安全工具        2018-01-05 10:02   来源:安全客   作者:安全客
在本文中,我们将详细介绍如何逆向一个流行的反病毒引擎,并对其进行“扩展”。在创建新的反病毒特征值(Anti-virus Signature)之后,就可以通过杀毒软件来对我们指定的机密文件实现

在本文中,我们将详细介绍如何逆向一个流行的反病毒引擎,并对其进行扩展。在创建新的反病毒特征值(Anti-virus Signature)之后,就可以通过杀毒软件来对我们指定的机密文件实现自动检测。

 

背景

在抵御恶意代码的持久战中,反病毒产品占据了主力地位。然而有趣的是,这些反病毒产品的特点往往与高级网络情报监控工具的特点有许多共同之处。例如,持久性、可扩展性、高级扫描能力、自我防御机制等,具体如下:

1、持久性:反病毒产品需要确保其能够始终运行,通常会将一些基础组件隐藏在比常规用户更高级别的位置。

2、扫描:反病毒产品设计的目的,就在于监测并扫描全部文件,包括文档这类不可执行的文件。

3、自动更新:反病毒产品经常需要自动更新各种组件,例如最新的特征库,这些组件会以不透明的方式进行功能上的扩展,即通常所说的更新病毒库

4、上传文件:反病毒产品可能会上传可疑文件,以进行进一步分析。

5、自我防御和反分析机制:反病毒产品通常会采用先进的自我防御机制,来防范逆向工程分析。