The Antivirus Hacker's Handbook 读书笔记

The Antivirus Hacker's Handbook

1. fm库：从Linux版获得symbols应用于Windows版调试？
   1. IDA插件Diaphora：利用Hex-Rays生成的AST进行2棵语法树的比较（靠）/Zynamics Bindiff
2. 启用内核调试：bcdedit /debug on
   1. WinDbg：.sympath srv*http://msdl....
   2. .reload
   3. >!process 0 0
3. fuzzer：Linux上更适合自动批量运行（QEMU, KVM, VB, VMWare）
   1. e.g. 连接到Avast：/var/run/avast/scan.lock
   2. IDA可以导出本地定义到.h头文件？这个功能不错。Comodo？
4. Plugins
   1. Kaspersky：更新格式COFF + 自定制的linker（靠）
   2. 启发式：贝叶斯网，布隆过滤器，Weights-based（行为打分？）
   3. Scanners（必须是内核驱动）
   4. Non-native代码
      1. 例. Symantec GVM, 'AVME AV', Themida/VMProtect（随机生成VM？）
   5. Emulators
5. 签名
   1. CRC
   2. 密码学hash
   3. Fuzzy hash：SpamSum, ssdeep, DeepToad
   4. 基于图的：Call/Flow
      1. Pyew/GCluster
6. Update系统
7. Evasion
   1. 抗disasm：SSE, 3D Now!, MMX, VMX, AVX, XOP, FMA（Intel的变态指令集）
   2. Anti-attaching
   3. 自动化Anti-scanner
      1. MultiAV
      2. PeCloak.py
   4. EasyHook / Detours：Userland bypass，原理: 改写prologue部分
8. 识别Attack Surface
   1. ACLS ~WinObj
   2. ASLR/DEP
      1. 国产软件的缺陷：Rising, Liebao（截屏扩展）
9. DoS
   1. Compression Bombs：dd if=/dev/zero bs=2048M count=1 | bzip2 -9 > 1.bz2
   2. Bugs in File Format Parsers
10. SA（静态分析）
    1. 事实标准：IDA's FLIRT
11. DA
    1. Fuzzing（基于一个二进制文件模板？）
    2. Blind Code Coverage Fuzzer（BCCF）
    3. DynamoRIO？
12. Load Exploitation: 0day
13. RE
    1. Weakness in Sandboxing: Exploiting ASLR, DEP & RWX Pages at Fixed Address, ROP（删除死代码的必要性）
14. Current Trends and Recommendations
    1. Patched Bugs？targeting home users
    2. >在沙箱（虚拟机）里运行老代码？Office 97，VB6，...