例分析贝壳木马专杀查杀方式

zkn1860

无聊就下载一个贝壳玩玩，发现贝壳靠的应该是MD5查杀的，当然这种方式的优势是速度快，病毒库小，充分利用云端，另外360安全卫士也怀疑是靠MD5查杀的。

下面猜测一下贝壳的查杀流程，首先全面扫描system32目录下面的文件，第一次扫描的速度是非常慢的，目的是为了建立一个数据库（不知道数据库里面藏的是不是MD5），然后我们把检测到的可疑文件上传了，接着等了6，7分钟左右吧，然后再来扫描一下，发现可疑的文件可以查杀了，这里我猜测当我们把可以文件上传到贝壳的服务器上面后，贝壳的服务器调用某种查杀引擎进行查杀，接着等6，7分钟后，服务器再把MD5值会送给客户端，然后就可以进行查杀了，验证这个猜测就是利用16进制编辑器载入木马，然后随便改一个字符，结果贝壳又不认识了，只能等待下一个6，7分钟进行升级再传送客户端查杀了。

在这里着重讨论一下未知文件和处理速度这个问题，我认为所谓的“未知”文件实际上很大一部分是已知的，因为只要你改变一下MD5值，那么这个文件就成了未知了，在这里所谓的速度问题就值得怀疑了，因为实际上服务器上面的查杀引擎很有可能早就已经查得出这个文件了，所以这个速度可以说是“伪速度”了，那么这个上传扫描再推送，速度当然就快了，所以我认为验证处理速度的话应该是用一个新出现的木马病毒，或者服务器上面的查杀引擎不能扫描的病毒来进行验证，只有这样才能验证真实的处理速度，那个MD5值改变然后再来查杀的响应速度只能是“伪速度”了。

还有大家不用当心系统文件改变就会影响检测，我试验只要改变系统文件的一个字符，贝壳马上就报未知了。

例分析贝壳木马专杀查杀方式