关于安全软件对壳的识别、查杀：一篇08年针对壳测试的导读

z13667152750

原文：http://bbs.kafan.cn/thread-370331-1-1.html（原文非常长，下面内容为原文节选，无修改，ps部分为我自己写的）

版权：
       本文所有内容均由gmen_pliskin原创，欢迎转载，但需说明原作者并保持全文完整性。

测试方式：
       测试分两部分，主测试Test1，其成绩计入排名及对照测试Test2，成绩不计排名，仅作Test1的参照组。

       Test1主要测试杀软引擎对加壳变种病毒的查杀能力。Test1的测试样品包括1个无壳病毒和对该病毒分别加36种壳而形成的变种病毒,以此来模拟现实中病毒变种的真实情况来衡量杀软引擎的抗变种能力。无壳病毒选用一个相对冷门的远控木马，在08/10/06生成,而各杀软的病毒库在08/11/16更新，保证了各杀软有足够时间入库及保证该病毒在现实世界中的变种趋于稳定，以此衡量杀软的查杀引擎的能力而不是入库能力。36种加壳工具均采用目前最新的版本，剔除长期不更新的老掉牙壳。其中大部分是正式版，有少量是Demo版；有国内的壳，有国外的壳；大部分是商业软件保护壳，也有少量专门为病毒免杀制作的壳。在内部测试中，36个加壳变种病毒中没有哪一个能被参与测试的10款杀软同时查杀,因此本测试能反映加壳免杀技术的最新潮流，从而测试出杀软引擎的当前及可预见未来的抗变种能力。
      Test2测试的是各杀软报壳的程度。Test2的测试样品包括一个无毒无壳的普通绿色软件和对该软件分别加36种壳而形成的加壳文件。Test2是作为Test1的参照组，用来观察Test1得到的成绩是否由引擎得出还是通过单纯报壳来实现的。由于选用的加壳工具有少量为病毒免杀而设计的壳，单纯的报壳是合理的。因此，Test2测试结果中只要某款杀软不存在大面积报壳，也是合理的。




结果：


ps：其实安全软件报壳，是向来就如此的，关键是看报的哪些壳
小红伞在av-c的测试中，要求忽略报pack即直接报壳的成绩，误报率和查杀率均忽略pack

yege0201

先顶一下~

看来在当时~国产自主知识产权的杀软中~瑞星的脱壳能力是最好的~

z13667152750

yege0201 发表于 2011-8-7 20:21
先顶一下~

看来在当时~国产自主知识产权的杀软中~瑞星的脱壳能力是最好的~

瑞星貌似是国内最早搞虚拟机启发的，所以脱壳还可以

yege0201

z13667152750 发表于 2011-8-7 20:29
瑞星貌似是国内最早搞虚拟机启发的，所以脱壳还可以

07年瑞星的虚拟脱壳机已经是第八代了~不知道现在瑞星的虚拟脱壳机到了第几代~07年时我用的还是瑞星~当时的脱壳能力还不错就是速度实在不敢恭维~

z13667152750

yege0201 发表于 2011-8-7 20:35
07年瑞星的虚拟脱壳机已经是第八代了~不知道现在瑞星的虚拟脱壳机到了第几代~07年时我用的还是瑞星~当时的 ...

现在瑞星的引擎已经......

yege0201

z13667152750 发表于 2011-8-7 20:35
现在瑞星的引擎已经......

不知道还不能在沉默中爆发一下~或许瑞星转向企业之后就不再管个人了~

光之优雅

08年的帖子被你翻出来了。。

yjwfdc

只测一个样本，如果是我发的，会被喷死。

xcking000

人家测得是脱壳能力。不是误报。。。还是上报一个月后才加壳测试的。。。人的测试客观。。当然没得喷。。。

zhq445078388

z13667152750 发表于 2011-8-7 20:29
瑞星貌似是国内最早搞虚拟机启发的，所以脱壳还可以

没有微点 测没意义
微点杀毒的虚机是动起来记api申请的 理论上忽视壳