【新闻】卡巴最新高级虚拟机启发式查毒技术被中国黑客攻破

小松鼠

11 月9日，中国著名黑客xyzreg(著名的安全漏洞、安全软件研究者，曾在中国安全第一峰会 -- 安全焦点2007峰会上做新型恶意软件技术相关的议题演讲，演讲中演示了如何穿透卡巴斯基、诺顿、Mcafee等安全软件的主动防御体系等内容）在其 BLOG上发表了一篇如何攻破卡巴斯基7.0的 “新型高级虚拟机启发式查毒技术”的文章，并提供了相应代码。
代码可以检测恶意程序自身是否在卡巴斯基7.0的虚拟机中运行，如果发现被卡巴斯基的虚拟机运行，则自动退出，从而使卡巴斯基无法发现程序中包含的恶意代码。

1. 被我十几行代码就咔嚓了，而且还没用奇技淫巧，呵呵：
   
2. 
   
3. DWORD fpid,epid;
   
4. 
   
5. void VMM()
   
6. {
   
7.    PROCESSENTRY32 pe;
   
8.    HANDLE hkz=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
   
9.    pe.dwSize=sizeof(PROCESSENTRY32);
   
10.    if (Process32First(hkz,&pe))
    
11.    {
    
12.     do
    
13.     {
    
14.        if (pe.th32ProcessID==GetCurrentProcessId())
    
15.        {
    
16.                      fpid=pe.th32ParentProcessID;
    
17.        }
    
18.       
    
19.        if (stricmp(pe.szExeFile,"explorer.exe")==0)
    
20.        {
    
21.                      epid=pe.th32ProcessID;
    
22.        }
    
23.     }
    
24.     while(Process32Next(hkz,&pe));
    
25.   }
    
26. }
    
27. 
    
28. 主函数里：
    
29. VMM();
    
30. if(fpid!=epid)
    
31.    return 0;

复制代码

Hans

有些牛人很张扬，有些牛人不张扬

csuthdy

呵呵，这有啥值得炫耀的，检测是否被资源管理器加载这经常被用到反调试器的代码中

IBM-R50

高人一般都隐的比较深

不会这样暴露自己的

只有这种人爱显摆自己

mugedy

代码很简单

shiyg2001

有的人喜欢晒，有的人不喜欢晒。

shifeifeishi

性格和追求不同。

itinsider

这好像不算攻破吧，
他检测出来了就直接推出那他病毒自己也没有发挥作用啊
应该是明知有卡巴虚拟机什么的照运行不误才叫攻破吧

sinfire

这叫攻破？哈哈，既然病毒不运行就等于是僵尸而已，不算啥