问个弱智问题：为啥杀毒软件不查壳？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

问个弱智问题：为啥杀毒软件不查壳？

发表于: 2005-2-20 20:27 6215

问个弱智问题：为啥杀毒软件不查壳？

nbw

活跃值

24

2005-2-20 20:27

6215

虽然有些壳被杀毒软件误报，但是大部分壳加壳时候都不被杀毒软件查杀。偶自己写个加密锁就要被诺顿干死。

我原来以为壳要重新创建一个文件而不修改被加壳的原始文件，但是后来看到不少壳直接需改被加壳的原始文件。所以理解不了为啥杀毒软件不叫嚣呢？

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・0

免费・0

支持

分享

最新回复 (18)
monkeycz 雪币： 1223 活跃值： (469) 能力值： (RANK：460 ) 在线值：发帖 36 回帖 552 粉丝 1 关注私信	monkeycz 11 2 楼问老罗去 2005-2-20 21:32 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 3 楼我用最新的瑞星对某个加壳的木马的测试: UPX : (Unpack脱壳) Trojan.KillAV.e aspack: (Unpack脱壳) Trojan.Win32.StartPage.ce fsg : (直接查出) Trojan.Win32.Delf.bz Nspack: (VEUnpackFile脱壳) Trojan.KillAV.e mew : (没查出) 同一个木马竟然查出3个名...... 瑞星似乎有脱壳,Unpack的都是已知壳,VEUnpackFile的都是简单的未知壳,稍复杂点的壳就查不出. 2005-2-20 23:06 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼跟壳的实现方式有关吧，应该有特别的办法可以避开查杀，比如EP是否在最后一个section等，猜测而已，请楼下指正 2005-2-20 23:44 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 5 楼再看看老牌的江民的在线查毒: UPX,aspack,FSG,MEW10的都查出来了,名为Trojan/IEStart. 但MEW11和Nspack的都没查出. 看来他只能脱已知的壳,对未知壳毫无办法. 2005-2-20 23:46 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 6 楼我说的是：加壳软件对软件进行加壳的时候，修改了被加壳软件，加壳软件修改别的程序，杀毒软件为啥不进行提示。 ps: 内部人士说如果发现是壳在进行操作，就不封杀。 2005-2-20 23:59 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 7 楼卡巴的效果还不错,比KV多查出MEW11的. 只有Nspack的没查出. 看来对未知壳的查杀不如瑞星. PS:我只是做测试而已. 2005-2-21 00:19 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 8 楼金山的较差了,只查出3个: upx Win32.Troj.Delf.bz.14336 aspack Win32.Troj.Delf.bz.18944 nspack Win32.Troj.StartPage.ma.15872 2005-2-21 00:34 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 9 楼你加壳的时候报毒不？如果不报，为啥不报？ ps:楼上的兄弟写过智能算法？名字这么熟悉。 2005-2-21 00:38 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 10 楼为测试我没开病毒监控. 其中我还测了一下我自己写的壳, 虽然没有特意加密,但各杀毒软件还是均未发现. 怪不得瑞星报新病毒时大多都是病毒变种. 否则他们每天研究数十个病毒岂不累死了:) 2005-2-21 00:46 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 11 楼你们用用卖咖啡看看再另下结论。 2005-2-21 10:55 0
winbase 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	winbase 12 楼我想应该的很多杀毒软件内部做了特征识别，现在病毒和加密壳的代码结构的界限越来越不明显了 2005-2-21 14:00 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 13 楼 MCAFEE和Norton对WinXP+SP2有兼容性问题,所以我没有做测试. 而且这两个杀毒软件速度和资源占用不敢恭维. 2005-2-21 15:25 0
dwing 雪币： 217 活跃值： (99) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 883 粉丝 6 关注私信	dwing 1 14 楼费了半天劲终于安装上MCAFEE了...... (只能测试这个版本了,由于兼容性问题不能在线升级) MCAFEE 8.0i (2004年8月) - DAT 版本： 4382 - 引擎版本： 4.3.20 结果是: 只有ASpack和UPX的被查出,名为"StartPage-CT(特洛伊)" 我尝试简单换了一下UPX壳的前两个指令(对程序运行无关), MCAFEE就查不出了(而PEid仍能认出), 所以应该是没有脱未知壳的能力.不知道现在的引擎如何了. 2005-2-21 16:28 0
tEAr 雪币： 99 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 51 粉丝 1 关注私信	tEAr 15 楼杀毒软件大多都用虚拟机技术罢了 2005-2-21 20:35 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 16 楼最初由 tear 发布杀毒软件大多都用虚拟机技术罢了 2005-2-21 20:36 0
东方弘雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 1 关注私信	东方弘 17 楼我的机子中了木马（系统目录中多出ws2_64.dll），大概是用jdpack加的壳，和softice冲突，新版瑞星查不出杀不掉。运行softice和上网不可兼得，烦恼！ 2005-2-22 15:58 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 18 楼最初由东方弘发布我的机子中了木马（系统目录中多出ws2_64.dll），大概是用jdpack加的壳，和softice冲突，新版瑞星查不出杀不掉。运行softice和上网不可兼得，烦恼！中过你这个。好像把系统本身的winsock给替换掉了。有些头疼 2005-2-22 16:23 0
东方弘雪币： 204 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 1 关注私信	东方弘 19 楼我也照着相关资料调整了注册表中相关键值，但这是变种，和资料中介绍的不一致，调整后IE调用相关ddl时出错。 2005-2-22 16:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

nbw

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//