讨论下，什么叫做免杀，免杀考不考虑防御

MagicFuzzX

楼主你不要以为过不了主防

iezhaoie

各种理论

zhq445078388

MagicFuzzX 发表于 2011-11-24 08:34
一般加密壳直接被秒，区段数太少的。。入口点不在指定位置范围的。。IAT加密的。。直接报毒了。。

是啊 报壳啊
但是那东西主要是做程序保护的
后来才被用来木马的免杀

huanggw99

专业人士真多，围观学习。

李白vs苏轼

zhq445078388 发表于 2011-11-24 08:52
是啊 报壳啊
但是那东西主要是做程序保护的
后来才被用来木马的免杀

不过 我看到好多杀软为了查杀率,拼命的报压缩壳和加密壳

像vm壳更是必报,,,,,其实有时候只是想保护下自己的成果

不过qvm经过大量的学习,,在一些常用壳方面误报的处理做得还是很好的

这些是一些日常用的壳的数量

李白vs苏轼

MagicFuzzX 发表于 2011-11-24 08:34
楼主你不要以为过不了主防

给他看过一些过的例子

他觉得那是以前的了

呵呵,,无所谓啦

李白vs苏轼

zhq445078388 发表于 2011-11-24 05:50
看到这里就想起所谓微特征了
加密壳
改个密钥 就不杀了。。。（整体全变了 就像rar改密码）

嗯 现在很多用你自增算法来改变md5,,还有增大体积躲避云

说白了还是为了延长对抗周期

zhq445078388

李白vs苏轼 发表于 2011-11-24 09:43
嗯 现在很多用你自增算法来改变md5,,还有增大体积躲避云

说白了还是为了延长对抗周期

自增算法对金山的微特征貌似无效。。

但是对于趋势或者巡警 就杯具了

-oAo-

不算免杀，这只是做成有密码的自解压包的效果

李白vs苏轼

zhq445078388 发表于 2011-11-24 09:45
自增算法对金山的微特征貌似无效。。

但是对于趋势或者巡警 就杯具了

不是无效,,,,

要看你在哪个地方增,,

嘿嘿

金山的微特征还是有很多先天不足的

例如他先天性广谱性差

不过像这种东西http://bbs.kafan.cn/thread-1048376-1-1.html

对文件只是单纯的切割,,还是很容易,,让他分片计算给搞到的