The Antivirus Hacker's Handbook 读书笔记

The Antivirus Hacker's Handbook

fm库：从Linux版获得symbols应用于Windows版调试？
IDA插件Diaphora：利用Hex-Rays生成的AST进行2棵语法树的比较（靠）/Zynamics Bindiff

启用内核调试：bcdedit /debug on
WinDbg：.sympath srv*http://msdl....
.reload
>!process 0 0

fuzzer：Linux上更适合自动批量运行（QEMU, KVM, VB, VMWare）
e.g. 连接到Avast：/var/run/avast/scan.lock
IDA可以导出本地定义到.h头文件？这个功能不错。Comodo？

Plugins
Kaspersky：更新格式COFF + 自定制的linker（靠）
启发式：贝叶斯网，布隆过滤器，Weights-based（行为打分？）
Scanners（必须是内核驱动）
Non-native代码
例. Symantec GVM, 'AVME AV', Themida/VMProtect（随机生成VM？）

Emulators

签名
CRC
密码学hash
Fuzzy hash：SpamSum, ssdeep, DeepToad
基于图的：Call/Flow
Pyew/GCluster

Update系统
Evasion
抗disasm：SSE, 3D Now!, MMX, VMX, AVX, XOP, FMA（Intel的变态指令集）
Anti-attaching
自动化Anti-scanner
MultiAV
PeCloak.py

EasyHook / Detours：Userland bypass，原理: 改写prologue部分

识别Attack Surface
ACLS ~WinObj
ASLR/DEP
国产软件的缺陷：Rising, Liebao（截屏扩展）

DoS
Compression Bombs：dd if=/dev/zero bs=2048M count=1 | bzip2 -9 > 1.bz2
Bugs in File Format Parsers

SA（静态分析）
事实标准：IDA's FLIRT

DA
Fuzzing（基于一个二进制文件模板？）
Blind Code Coverage Fuzzer（BCCF）
DynamoRIO？

Load Exploitation: 0day
RE
Weakness in Sandboxing: Exploiting ASLR, DEP & RWX Pages at Fixed Address, ROP（删除死代码的必要性）

Current Trends and Recommendations
Patched Bugs？targeting home users
>在沙箱（虚拟机）里运行老代码？Office 97，VB6，...