一个木马在VT上绿了三年，走这项反病毒引擎技术的小路还会活见鬼多久？

今天中午闲暇时间看到了这个帖子，当时的第一感觉就是某个抄近道的方法被人利用了，然后晚上看到人分析，亦如是

很明显这个恶意代码编写者是patch了原程序WinMain调用的一个函数的代码，然后从这里作为恶意代码的执行入口，后续再内存中布局其他的恶意代码，来依次调用达到隐藏的目的，简单的看了一下这个函数的代码，发现被加入了很多垃圾代码；这种垃圾代码后续会不停的出现，不过是比较小儿科的垃圾代码，所有的分支都不会进入，这里直接忽略就好了，关键是下面的那个call，跟进去之后会发现我们进入了第二段被修改的代码区间  0x425679；

wondeekun，公众号：安全的矛与盾三年了，还是VT全绿，它到底凭什么？

下面是笔者想说的

十多年前，反病毒业内始祖级人物为解决本地白名单库太大的问题，提出了一个建议，看能否将白名单引擎像反病毒引擎一样能够识别一对多，但不能出现漏报纰漏，提出了个初步方法，要笔者和一位做白名单的技术人员去论证，经过几天探讨，笔者并没有完全推翻起初的方案，但加了很多看起来并不高效并且很繁琐的逻辑，来堵死万一白名单库被被恶意文件鱼目混珠后导致完全报废的问题，这一灵感源自于分析onehalf、TMC和8888这几个DOS病毒，应为它们实在是太灵活了，用登峰造极的病毒技术形容都不为过，笔者为了防止PE文件也出现这类病毒技术，所以特意要求了在白名单特征技术里面多加了一组作为命中后翻转的特征，这组特征原理是这样的：

对PE文件取EP段与代码段与OEP偏移1K内所有jmp和call三层后所指向的区段的结尾xxx个字节特征计算，对于正常文件结构不变时候依旧可识别，对于被感染的文件基本上堵死了节增大与空白处塞代码的感染方法（新增节不在补充特征的考虑范围内），后来出了个病毒貌似叫civut，印证了笔者的想法是没错的。当然笔者当时也感觉到了互联网时代的版本迭代，这个方案估计还需优化，但后来就没然后了。

现在估计这个技术很多都在用，一是有段时间恶意文件流行自增大，hash的白名单方法是无止境的，二是互联网产品迭代快了，白文件又太多，而笔者当时那一步极可能会被认为多此一举，成了存储成本与运营成本的拦路墙。

最后笔者想说的是抄东西一定要抄走灵魂，甚至在其基础上进行提高，笔者在《国产化网络安全能力建设是一条披荆斩棘的路》这篇文章中称其为借鉴，没有灵魂的抄那就是行尸走肉，遇到问题不能见招拆招，必然溃不成军，VT上为什么绿了三年，那就是互相对照相互自否最真实的体现。

原文始发于微信公众号（锐眼安全实验室）：一个木马在VT上绿了三年，走这项反病毒引擎技术的小路还会活见鬼多久？