确切的来讲，应该是杀壳。

当很多人认为隐私壳，不被放出的壳不被查杀的话，那就错了，应该反过来，更容易。

病毒软件提取特征字我以有初步研究，正如很多认为的，它只能在EP附近或者OEP附近，以及特征字符，特征IAT周围转圈。首先我写一个简单的捆绑器，把字符串加密，这样杀毒公司首先取消了特征字符，特征IAT的提取工作。[特别是瑞星之流我要讲一下，技术员不是一般的懒，UPX壳都懒的脱，内存提取特征字直接提取分析DUMP。这是我见过最差劲的特征字提取杀毒软件，很明显，只能解决一时之需，从另一角度上看，病毒库维护难度以及容量要远大于其它杀毒软件。] 此时我再写一个壳，也可以利用现成的壳代码写。很多人都知道，壳到OEP之间的代码叫loader，我以某壳loader 16进制代码做为我的密匙签名，既可以作为我自己的壳loader的解压密码，同时也可以做为被加壳的捆绑器的解压密码。并且以明文存在与我的壳loader，甚至我可以偷取原捆绑器OEP代码并且多态化到壳内，被原某壳loader 16进制代码密匙签名代替原地方。这样某壳的特征代码在我的整个作品内出现了3次。这3次，也正好是杀毒软件经常，其实也是必须要提取特征字的地方。这样一来，此壳就被轻松送入监狱了。 因此，隐私壳特征代码报毒几率更大，当你不能脱壳的时候[实质上我不喜欢脱壳，那是多么辛苦的回报率又低的工作]，所以我们可以借第二双小手来杀壳。

从另一角度来看，如果我是用知名品牌的壳特征代码会怎样，正如你所说，其它杀毒软件是不会沦落为瑞星之流的。他们不会抛弃原有特征字提取技术，因此，可能会放你一马，至少比较长的时间会如此。事实上我一捆绑器都对外下载一个月了，还没有被知名杀毒软件查杀，只是被某款不知名杀毒软件查杀而已，但此软可悲的把ASPR列入了特征库，用的就是ASPR的特征代码，如果我用的是HYING的呢？我想我不会这么有好运。

[课程]Linux pwn 探索篇！