还原真相！！红伞的高查杀率其实有相当一部分是带壳入库

fzq198776

发现卡饭里的一些朋友对小红已经达到了神话般的崇拜程度，其实我觉得小红山其实很一般，它的高查杀率仅仅只能说明他的病毒收集能力很强，而他的杀毒引擎，真的是很一般，换而言之其对付未知病毒的能力是很一般的，说的更明白点，如果黑客想要对小红伞做针对性的免杀，其实是比较简单轻松的，只要不用加壳（原因后面会说），使用修改特征码的话，其实是相当容易的，因为依据我的经验，红伞定义病毒特征码，一般只会有两处而已，定义的地方一般都在输入输出表处，修改起来很有规律的，有些人可能会说，卡饭测评区有一篇帖子，是专门测试NOD和小红伞的查杀未知病毒的能力的，对于NOD我信，我最喜欢的就是这款杀软，至于小红伞，其实我想说的是，他那里面用的还是特征码查杀，因为卡饭的病毒包实际上还是从网上收集的，而这些被收集的病毒，通常可能在数月之前就开始流行了，而我前面也提到了，小红伞的样本收集能力很强，所以就造成了小红伞查杀“未知”病毒高的假象
       接下来回到本文讨论的重点上来，也就是小红伞的带壳入库的问题，我会用一款正常文件做测试，加壳之前不杀，加壳后就会报毒，一般而言，如果加压缩壳的话，红伞不报，如果加加密壳的话，红伞一定会报，至于为什么会这样，我在最后会总结陈述中会说
       我个人来说是比较懒的，懒得发图，所以我干脆将加壳前后的样本上传上，并将查杀结果给出，大家可以下下来去验证
2楼，为未经过处理之前的程序
5，7，8，10这四楼分别是处理后，被小红伞误杀的文件
17楼为总结性陈述

51楼为答疑帖

[ 本帖最后由 fzq198776 于 2008-12-9 14:59 编辑 ]

fzq198776

我所选的测试程序是
“我的定时关机2006”，我这里只对其EXE的主程序进行测试，所以我这里也只上传一个EXE主程序，由于缺少必要的DLL文件，所以一个单独的主程序是无法正常运行
测试结果：正常文件，且为进行任何处理，红伞不杀

雨宫优子

其实，虽然我看到了楼主的话，不要回复，但是我建议楼主这样的帖还是不要发
这样会引起FANS们的大口水，最后的结果往往只能是锁帖，并且将带头口水的人送入思过崖（比较严重的） （注：带头口水的人≠发证据的人）


希望楼主慎重考虑！
————————————————————————————————————————————————
口水似乎没有我想象的那么严重，可能是因为看了我的回复的原因吧，水一个
————————————————————————————————————————————————
来说说我的看法..


红伞官方的人说过，与其花大量时间去脱壳，还不如直接报告病毒（大概意思就是这样吧）


报壳的确是一种方法


另外楼主用的加密壳、猛壳什么的，NOD32脱起来要卡好久，这就是为什么NOD32在运行一些东西时候CPU会卡到100%原因了（不好意思，又扯到NOD32了 ）


另外，带壳入库的确是一个问题，但是也是无奈，因为红伞引擎中没有脱壳功能（并且官方从没想过要增加）


如果不带壳入库，把脱壳后的特征码加入到病毒库中，红伞又没有脱壳功能，那么怎么能保证红伞能杀出那个病毒呢？

[ 本帖最后由 aarwwefdds 于 2008-12-11 12:32 编辑 ]

XMatence

“小红山”

挺红伞～～

fzq198776

接下来，我用驱动级的猛壳 Themida1.7.3对其进行加密处理，红伞立刻报毒，处理后的文件体积编导 1 M 多，╭∩╮（︶︿︶）╭∩╮ ，所以我分卷上传

solcroft

很难想象到了如今竟然还有人对红伞的报壳如此惊讶
另外告诉楼主一个重大消息，地球其实是圆的...

[ 本帖最后由 solcroft 于 2008-12-8 23:31 编辑 ]

fzq198776

接下来上传 经过了maskPE2.0处理过后的样本，红伞依旧报毒

fzq198776

接着上传 经过猛壳svkp1.43处理过的样本，红伞依旧报

秘书

楼主mars了
有无数的先辈向楼主一样倒下了

不发表意见...

fzq198776

接着用 VMProtect_V1.22对样本进行处理，红伞依旧报毒