楼主: 327935796
收起左侧

[转帖] nod32简约而不简单

[复制链接]
The EQs
发表于 2007-8-3 17:24:42 | 显示全部楼层
原帖由 hj5abc 于 2007-8-3 17:23 发表

壳和行为有关系? 壳会有什么行为..
在虚拟机上运行一个毒,脱壳是直接在内存中完成的,而动作是毒脱壳后完成的..
启发看的是动作.

如果你脱不了壳怎么能查到???像以前加了PE-ARMORnod32根本就无法查到。。。但是现在nod32可以脱了。。。
solcroft
发表于 2007-8-3 17:28:15 | 显示全部楼层
NOD32根本不是在模拟行为
拿一家变种来看,动作就算不一样也十分相似,但只要加了壳NOD32就挂
风野胤
发表于 2007-8-3 17:28:50 | 显示全部楼层

回复 #30 hj5abc 的帖子

panda的suspicious是不管死活都报
这也是TP??
The EQs
发表于 2007-8-3 17:29:49 | 显示全部楼层
原帖由 solcroft 于 2007-8-3 17:28 发表
NOD32根本不是在模拟行为
拿一家变种来看,动作就算不一样也十分相似,但只要加了壳NOD32就挂

偶见到过加两层ASPACK的毒nod32都报未知。。。
jlennon
头像被屏蔽
发表于 2007-8-3 17:33:55 | 显示全部楼层

回复 #30 hj5abc 的帖子

TP不会报可疑,还有,不直接运行,TP不会工作的
hj5abc
发表于 2007-8-3 17:35:59 | 显示全部楼层
原帖由 EQ2 于 2007-8-3 17:24 发表

像以前加了PE-ARMORnod32根本就无法查到。。。但是现在nod32可以脱了。。。

那到底是''模拟''出来了还是脱了..
hj5abc
发表于 2007-8-3 17:37:59 | 显示全部楼层
原帖由 EQ2 于 2007-8-3 17:29 发表

偶见到过加两层ASPACK的毒nod32都报未知。。。

BD也会的..以前样本区有个样本,多引擎杀软上没能脱的,但BD报了Behaveslike..
The EQs
发表于 2007-8-3 17:38:11 | 显示全部楼层

回复 #36 hj5abc 的帖子

nod32的脱壳引擎存在问题。。。。。同样一个壳。。。有的时候可以脱掉,有的时候却脱不掉。。很奇怪。。。。。之前脱不了pe-armor的时候,完全模拟不出行为,但是能脱PE-ARMOR之后,能模拟出行为了
hj5abc
发表于 2007-8-3 17:42:31 | 显示全部楼层

回复 #35 jlennon 的帖子

TP好像防不了黑炸弹..
The EQs
发表于 2007-8-3 17:42:54 | 显示全部楼层
像themida nod32完全就没辙,脱不了壳怎么能模拟出行为???
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 12:58 , Processed in 0.093783 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表