能力值:
(RANK:460 )
|
-
-
2 楼
问老罗去
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
我用最新的瑞星对某个加壳的木马的测试:
UPX : (Unpack脱壳) Trojan.KillAV.e
aspack: (Unpack脱壳) Trojan.Win32.StartPage.ce
fsg : (直接查出) Trojan.Win32.Delf.bz
Nspack: (VEUnpackFile脱壳) Trojan.KillAV.e
mew : (没查出)
同一个木马竟然查出3个名......
瑞星似乎有脱壳,Unpack的都是已知壳,VEUnpackFile的都是简单的未知壳,稍复杂点的壳就查不出.
|
能力值:
( LV9,RANK:690 )
|
-
-
4 楼
跟壳的实现方式有关吧,应该有特别的办法可以避开查杀,比如EP是否在最后一个section等,猜测而已,请楼下指正
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
再看看老牌的江民的在线查毒:
UPX,aspack,FSG,MEW10的都查出来了,名为Trojan/IEStart.
但MEW11和Nspack的都没查出.
看来他只能脱已知的壳,对未知壳毫无办法.
|
能力值:
( LV13,RANK:970 )
|
-
-
6 楼
我说的是:
加壳软件对软件进行加壳的时候,修改了被加壳软件,
加壳软件修改别的程序,杀毒软件为啥不进行提示。
ps: 内部人士说如果发现是壳在进行操作,就不封杀。
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
卡巴的效果还不错,比KV多查出MEW11的.
只有Nspack的没查出.
看来对未知壳的查杀不如瑞星.
PS:我只是做测试而已.
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
金山的较差了,只查出3个:
upx Win32.Troj.Delf.bz.14336
aspack Win32.Troj.Delf.bz.18944
nspack Win32.Troj.StartPage.ma.15872
|
能力值:
( LV13,RANK:970 )
|
-
-
9 楼
你加壳的时候报毒不?如果不报,为啥不报?
ps:楼上的兄弟写过智能算法?名字这么熟悉。
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
为测试我没开病毒监控.
其中我还测了一下我自己写的壳,
虽然没有特意加密,但各杀毒软件还是均未发现.
怪不得瑞星报新病毒时大多都是病毒变种.
否则他们每天研究数十个病毒岂不累死了:)
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
你们用用卖咖啡看看再另下结论。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
我想应该的很多杀毒软件内部做了特征识别,现在病毒和加密壳的代码结构的界限越来越不明显了
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
MCAFEE和Norton对WinXP+SP2有兼容性问题,所以我没有做测试.
而且这两个杀毒软件速度和资源占用不敢恭维.
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
费了半天劲终于安装上MCAFEE了......
(只能测试这个版本了,由于兼容性问题不能在线升级)
MCAFEE 8.0i (2004年8月)
- DAT 版本: 4382
- 引擎版本: 4.3.20
结果是:
只有ASpack和UPX的被查出,名为"StartPage-CT(特洛伊)"
我尝试简单换了一下UPX壳的前两个指令(对程序运行无关),
MCAFEE就查不出了(而PEid仍能认出),
所以应该是没有脱未知壳的能力.不知道现在的引擎如何了.
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
杀毒软件大多都用虚拟机技术罢了
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
最初由 tear 发布 杀毒软件大多都用虚拟机技术罢了
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
我的机子中了木马(系统目录中多出ws2_64.dll),大概是用jdpack加的壳,和softice冲突,新版瑞星查不出杀不掉。运行softice和上网不可兼得,烦恼!
|
能力值:
( LV13,RANK:970 )
|
-
-
18 楼
最初由 东方弘 发布 我的机子中了木马(系统目录中多出ws2_64.dll),大概是用jdpack加的壳,和softice冲突,新版瑞星查不出杀不掉。运行softice和上网不可兼得,烦恼! 中过你这个。好像把系统本身的winsock给替换掉了。有些头疼
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
我也照着相关资料调整了注册表中相关键值,但这是变种,和资料中介绍的不一致,调整后IE调用相关ddl时出错。
|
|
|