svch0st.exe 감지

 | 보안 이야기
2009/05/19 10:07

svch0st.exe 감지




malware 중에는 svch0st.exe, kerne132.dll 같은 시스템 모듈 파일이름을 흉내낸
짜가리 파일이 많죠. 그런 찌질이들 탐지하는 루틴을 만들고 있는데요,
테스트 삼아 notepad.exe 를 svch0st.exe 로 이름을 변경했는데 바로 V3 에서
잡아버리네요 오우 ㅋㅋㅋ

요즘 백신들의 휴리스틱 엔진은 재미있는 것이 많군요 :)





이올린에 북마크하기(0) 이올린에 추천하기(0)
Posted by window31


트랙백 0 : 댓글 6

트랙백 보낼 주소 : http://window31.com/trackback/276 관련글 쓰기

댓글을 달아주세요

  1. BlogIcon 마로
    2009/05/19 12:05
    댓글 주소 수정/삭제 댓글
    진단명이 스파이웨어인거 보니...
    파일명이 그대로 패턴에 있는건가본데. ;ㅅ;
    흠 좀 무섭네요 .. =_=
    • BlogIcon window31
      2009/05/19 12:29
      댓글 주소 수정/삭제
      system 폴더에 있는것만 그런가본데?
      아무 폴더에다가 svch0st.exe 생성하니 그건 안 잡네..
  2. BlogIcon viruslab
    2009/05/19 13:51
    댓글 주소 수정/삭제 댓글
    Anti-Spyware 패턴쪽..특히 우리나라의 경우는 파일명과 경로 비교 패턴방식을 사용하는 경우가 좀 있지요.

    추출한 파일의 패턴 없이 잡아내는 고성능을 발휘해 줄 수 있겠지요^^

    이러한 방식은 해외 메이저급에서는 사용하지 않는 것 같습니다.
    • BlogIcon window31
      2009/05/21 20:54
      댓글 주소 수정/삭제
      음 그렇군요~!
      네 생각보다 이러한 잔꽁수들이 진단결과에 있어 수확이 큰 것 같습니다 : )
  3. BlogIcon 퀸킹
    2009/05/20 17:24
    댓글 주소 수정/삭제 댓글
    안녕하세요^^PxxxxCxx 크랙 이름을 알고 싶어서 쪽지를 띄우니다.
    이름좀 가르쳐주세요 부탇해요!!!!!new1soo@naver.com
    • BlogIcon window31
      2009/05/21 20:54
      댓글 주소 수정/삭제
      음 글쎄요.. 제가 쓰는 프로그램을 크랙한게 아니라서 ;;
      너무 오래전 일이라 가물가물 ㅠ ㅠ

PREV 1 ... 35 36 37 38 39 40 41 42 43 ... 256 NEXT
BLOG main image
by window31

카테고리

분류 전체보기 (256)
Reverse Engineering (21)
C, C++ (20)
Kernel (8)
Guitar (18)
잡담 (70)
etc (5)
who am i (8)
보안 이야기 (75)
Tools (3)
월간 마이크로소프트웨어/.. (27)

최근에 올라온 글

글 보관함

rss