记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭秘朝鲜反病毒软件SiliVaccine的内幕之续篇

第五章 检测名称重命名方案如前所述,SiliVaccine使用趋势科技的模式文件,其中包含趋势科技的签名名称。但是,这些名称从未向最终用户透露过,因为它会对检测到的恶意软件名称进行内部重命名,基本上将它们从趋势科技的格式转换为它自己的“专有”格式。此功能由SVMain&SVDealer模块中的专用功能处理,通过调用SVKernel中的SVFunc016(VSSetProcessFileCallBackFunc)导出设置为回调,并在每次文件扫描后立即触发。如果扫描检测到恶意软件,则将匹配的检测名称显示在模式文件中,并将其转换为自定义格式,如下所述。在整个程序中,仅引用修改的名称格式,正如将在白名单章节中进一步描述的那样。
发布时间:2018-05-11 12:20 | 阅读:75345 | 评论:0 | 标签:技术 反病毒软件

揭秘朝鲜反病毒软件SiliVaccine的内幕

一、背景这次调查始于我们的研究团队收到了一个非常罕见的朝鲜SiliVaccine反病毒软件样本,来自于一位专注于朝鲜技术的自由记者Martyn Williams。2014年7月8日,威廉姆斯先生收到了该软件,来自名为Kang Yong Hak的人发送的可疑电子邮件中的链接,此人的邮箱目前已无法访问。经过仔细观察,我们的团队发现了几个有趣的元素。被称为日本工程师的Kang Yong Hak发送的奇怪电子邮件中包含一个到Dropbox托管的zip文件的链接,该文件包含SiliVaccine软件的副本以及一个韩文说明文档指导如何使用该软件以及可疑的外观文件冒充SiliVaccine补丁。二、趋势AV扫描引擎在对SiliVac
发布时间:2018-05-09 12:20 | 阅读:73833 | 评论:0 | 标签:技术 反病毒软件

从来不装反病毒软件 这人是疯了还是睿智?

本文作者竟然好几年不装杀毒软件,他为自己无视所有安全专家建议的行为付出代价了吗?多年来,我一直是家里随叫随到的技术人员,我的“修理”工作大多涉及清理恶意软件蔓延。你或许知道都有些什么类型:被劫持的浏览器、猖獗的弹出框、严重受损的计算机性能。就在前几天,我从老爸的笔记本电脑里清除了一个浏览器“劫匪”。讽刺的是,他们的计算机上通常都运行有某种安全软件,迈克菲、诺顿之类的。老爸电脑上装的是专供康卡斯特客户的诺顿免费版。但在抱怨了人为错误之后,我遇到了那个必然的问题:“好吧,你用哪款安全软件?”我的答案是:一款都没用。我在玩火吗?或许可以说我疯了吧。但这确实是我这么多年来的一贯做法,我可以在维基百科上发誓,这么做从没出过任何问题。没有病毒、没有间谍软件、没有rootkit、没有浏览器劫持。没有身份盗窃、没有键盘记录、没
发布时间:2017-09-16 03:35 | 阅读:89506 | 评论:0 | 标签:牛闻牛评 win10 反病毒软件 安全工具 安全意识

简单方法检测远端用户的反病毒软件

我常使用的操作系统是 Windows7,为了确保更安全,我安装了卡巴斯基互联网安全防病毒软件。一天我在一个 Web 页面上看到了一段非常有趣的代码,在我看来它不该出现在页面上。 为什么 Facebook 会使用卡巴斯基网站的 js 代码?我立刻意识到是我的反病毒软件做了 MITM,在网页上注入代码来跟踪页面的活动。在客户端计算机上存在任何的反病毒软件的话,包括 KIS,为什么不创建一个特殊的页面来监视 Javascript 的代码呢? 创建服务器的第一个页面 iframe.html <!DOCTYPE html> <html lang="en"> <head/> <img src=x /> <script t
发布时间:2016-11-23 18:55 | 阅读:151708 | 评论:0 | 标签:系统安全 反病毒软件

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云