浅析一下火绒杀毒_火绒添加特征库

作者：爱喝兽奶帝天荒 | 2024-06-19 19:36:22

踩

火绒添加特征库

说明下：只是对火绒这款良心杀毒的好奇心而研究的。并没有什么恶意。希望火绒会越来越好。

火绒病毒库header结构如下：

红圈1：flag

红2：文件整体长度

红3：病毒库数量（建立索引数量）

红4：解压后的长度

红5：解压后去掉header后的长度

剩下是128个字节的解密key。

红6：flag。

prop是特征码的病毒库。

pset是病毒名称的病毒库。

pset中有多条索引对应prop。在prop中判断正确，则从pset中寻找对应的病毒名称。

关于火绒静态检测：

在发现特征码的病毒中，只要针对特征修改即可。如下：

再举个例子：

这个是命中4条特征：

特征1：67 65 7452 61 6E 64 6F 6D 49 50

特征2：63 6F 6D6D 53 65 72 76 65 72

特征3：73 65 6E64 4A 55 4E 4B 45

特征4：73 63 616E 50 69 64

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/爱喝兽奶帝天荒/article/detail/737466

浅析一下火绒杀毒_火绒 添加特征库