学习了。。

最初由 爱一个人好难 发布
好多杀毒软件报病毒！
建议作者更新

最初由 peaceclub 发布
目前正常软件加壳后，卖咖啡报告病毒.

请指出杀毒软件的版本.

谁愿做一个脱壳动画？

最初由 dwing 发布
This is a report processed by VirusTotal on 11/11/2005 at 11:17:54 (CET) after scanning the file "WinUpackE36.exe" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.11.2005 no virus found
Avast 4.6.695.0 11.09.2005 no virus found
AVG 718 11.03.2005 no virus found
........

楼主的机器装了这么多杀毒软件，真是佩服啊！

不是你的主程序！ 是加壳的软件报毒！

估计都是特殊PE头惹的祸

最初由 auser 发布

楼主的机器装了这么多杀毒软件，真是佩服啊！

我怎么可能装这么多杀毒软件?
http://www.virustotal.com

最初由 爱一个人好难 发布
不是你的主程序！ 是加壳的软件报毒！

Upack0.36加壳的记事本(好像有一个报可疑了):
This is a report processed by VirusTotal on 11/12/2005 at 17:10:13 (CET) after scanning the file "Notepad_Upack36.EXE" file.
Antivirus Version Update Result
AntiVir 6.32.0.6 11.11.2005 no virus found
Avast 4.6.695.0 11.11.2005 no virus found
AVG 718 11.11.2005 no virus found
Avira 6.32.0.6 11.11.2005 no virus found
BitDefender 7.2 11.12.2005 no virus found
CAT-QuickHeal 8.00 11.12.2005 (Suspicious) - DNAScan
ClamAV devel-20051108 11.11.2005 no virus found
DrWeb 4.33 11.12.2005 no virus found
eTrust-Iris 7.1.194.0 11.11.2005 no virus found
eTrust-Vet 11.9.1.0 11.11.2005 no virus found
Fortinet 2.48.0.0 11.10.2005 no virus found
F-Prot 3.16c 11.10.2005 no virus found
Ikarus 0.2.59.0 11.11.2005 no virus found
Kaspersky 4.0.2.24 11.12.2005 no virus found
McAfee 4626 11.11.2005 no virus found
NOD32v2 1.1284 11.11.2005 no virus found
Norman 5.70.10 11.11.2005 no virus found
Panda 8.02.00 11.12.2005 no virus found
Sophos 3.99.0 11.12.2005 no virus found
Symantec 8.0 11.12.2005 no virus found
TheHacker 5.9.1.033 11.11.2005 no virus found
VBA32 3.10.4 11.11.2005 no virus found

To Dwing:
  最新的 McAfee 报病毒-> "New Malware.n"
而您的在线扫描却是：McAfee 4626 11.11.2005 no virus found
是不是要和McAfee沟通一下呀！

最初由 acafeel 发布
To Dwing:
最新的 McAfee 报病毒-> "New Malware.n"
而您的在线扫描却是：McAfee 4626 11.11.2005 no virus found
是不是要和McAfee沟通一下呀！

McAfee我市看到过了，不知道还有哪个报NEW WIN32病毒的，忘了！

upack 0.36好像针对不同的语言版本，压缩方法不一样.
1、一般压成3个section的没问题.压成2个section:Upack,rsrc的时候,oep在rsrc,而rsrc又是可写的,卖咖啡就会报新未知病毒(New Malware.n)
2、对于原先dwing的把oep调到PE头部的时候(jmp到真实的oep),卖咖啡就不报了,但死Norton就开始报未知病毒了。
你和杀毒厂商联系没用的，毕竟这是别人的新技术，要懵懵普通客户的,体现它的先进性。没办法，这么多杀毒软件，要保持先进性[保先]不容易啊。

我个人认为这款软件是很经典的，除了没有开源和没有解压功能外，其它绝对和UPX有一拼，足以和UPX一起成为免费且功能强大的“双塔”，真不希望它不被用户接受和推广，是因为它压缩的程序是“伪病毒”。

最初由 peaceclub 发布
upack 0.36好像针对不同的语言版本，压缩方法不一样.
1、一般压成3个section的没问题.压成2个section:Upack,rsrc的时候,oep在rsrc,而rsrc又是可写的,卖咖啡就会报新未知病毒(New Malware.n)
2、对于原先dwing的把oep调到PE头部的时候(jmp到真实的oep),卖咖啡就不报了,但死Norton就开始报未知病毒了。
你和杀毒厂商联系没用的，毕竟这是别人的新技术，要懵懵普通客户的,体现它的先进性。没办法，这么多杀毒软件，要保持先进性[保先]不容易啊。

Upack 0.36的三个版本是一模一样的,而且也是用一个内核编译的.压缩方法不可能不一样.用0.36加壳一定是3个sections.
到virustotal测试时不要上传太小的文件,否则可能根据文件大小就有可能判断成病毒.

最初由 acafeel 发布
我个人认为这款软件是很经典的，除了没有开源和没有解压功能外，其它绝对和UPX有一拼，足以和UPX一起成为免费且功能强大的“双塔”，真不希望它不被用户接受和推广，是因为它压缩的程序是“伪病毒”。

UPX最大特点是格式支持广泛和跨平台,这一点几乎没有那个壳可与之比较.
因此UPX几乎是壳的标准,使用范围最广,但还是有可能被误报病毒.因此现在WinRAR的SFX都不再加壳了.

Dwing,你压缩试试,反正我压缩后,的确只有Upack,rsrc:附件:virus.zip
注意:临时为了测试,附件中是木马,切记不要运行.

Kaspersky今天的病毒库完全误报了Upack 0.36壳为Trojan.Win32.StartPage.adh
无语了......

最初由 peaceclub 发布
Dwing,你压缩试试,反正我压缩后,的确只有Upack,rsrc:附件:virus.zip
注意:临时为了测试,附件中是木马,切记不要运行.

原因是这样:Upack 0.36的DLL压缩内核还是原来的0.32版的,因为测试程序含重定位表,所以当作DLL压缩了.如果强制按exe压缩就应该选上"4.清除重定位表".

最初由 dwing 发布
Kaspersky今天的病毒库完全误报了Upack 0.36壳为Trojan.Win32.StartPage.adh
无语了......

狗*的喀吧。胡闹.不负责任

我测试了一下：

用 Borland 的 Delphi 和 C＋＋ Builder 编译器生成的程序就 压成2个section，并被报成是病毒；而 VC＋＋ 和 Masm 编译的就压成3个section；看来确实如 peaceclub 所说：“upack 0.36好像针对不同的语言版本，压缩方法不一样.
”。

偶们反馈没用,应该作者和Kaspersky联系/反馈一下.
建议dwing和喀吧反馈一下,这是误报,应该可以解决.
不要和nspack学,再继续修改/升级,那样的话就有无限的事情要做了(况且你的工作还是无私奉献型).

最初由 dwing 发布
Kaspersky今天的病毒库完全误报了Upack 0.36壳为Trojan.Win32.StartPage.adh
无语了......

最好赶紧跟kaspersky沟通一下

我会去与kaspersky沟通的。
不过之前我先研究一下卡巴是如何找特征码的。
修改表面特征,入口位置,入口代码和导入表均无效.
最后集中在134H~137H这个位置,修改就不报,但这几个字节是解压代码,修改就无法解压了.而且这个地方无法使用其他代码替换,卡巴果然是够狡猾的.
不过可疑的是卡巴不象McAfee一样针对Upack壳报恶意软件,而是一个病毒变种.而且Upack以前许多版本卡巴都能脱壳杀毒,看来可能是木马传播者搞的.

为什么 受伤的总是我  到底我是做错了 什么
鄙视下  咔吧!

最初由 qq7119 发布
为什么 受伤的总是我 到底我是做错了 什么
鄙视下 咔吧!

心照不宣，就是因为某些垃圾，卡巴才把它列入黑名单的

现在所谓的“Trojan.Win32.StartPage.adh”病毒迅速进入virustatal最近24小时内病毒排行榜第6名