nod32简约而不简单

显示全部楼层 · 发表于 2007-8-3 17:24:42

原帖由 hj5abc 于 2007-8-3 17:23 发表

壳和行为有关系? 壳会有什么行为..
在虚拟机上运行一个毒,脱壳是直接在内存中完成的,而动作是毒脱壳后完成的..
启发看的是动作.

如果你脱不了壳怎么能查到？？？像以前加了PE-ARMORnod32根本就无法查到。。。但是现在nod32可以脱了。。。

显示全部楼层 · 发表于 2007-8-3 17:28:15

NOD32根本不是在模拟行为
拿一家变种来看，动作就算不一样也十分相似，但只要加了壳NOD32就挂

显示全部楼层 · 发表于 2007-8-3 17:28:50

panda的suspicious是不管死活都报
这也是TP？？

显示全部楼层 · 发表于 2007-8-3 17:29:49

原帖由 solcroft 于 2007-8-3 17:28 发表
NOD32根本不是在模拟行为
拿一家变种来看，动作就算不一样也十分相似，但只要加了壳NOD32就挂

偶见到过加两层ASPACK的毒nod32都报未知。。。

显示全部楼层 · 发表于 2007-8-3 17:33:55

TP不会报可疑,还有,不直接运行,TP不会工作的

显示全部楼层 · 发表于 2007-8-3 17:35:59

原帖由 EQ2 于 2007-8-3 17:24 发表

像以前加了PE-ARMORnod32根本就无法查到。。。但是现在nod32可以脱了。。。

那到底是''模拟''出来了还是脱了..

显示全部楼层 · 发表于 2007-8-3 17:37:59

原帖由 EQ2 于 2007-8-3 17:29 发表

偶见到过加两层ASPACK的毒nod32都报未知。。。

BD也会的..以前样本区有个样本,多引擎杀软上没能脱的,但BD报了Behaveslike..

显示全部楼层 · 发表于 2007-8-3 17:38:11

nod32的脱壳引擎存在问题。。。。。同样一个壳。。。有的时候可以脱掉，有的时候却脱不掉。。很奇怪。。。。。之前脱不了pe-armor的时候，完全模拟不出行为，但是能脱PE-ARMOR之后，能模拟出行为了

显示全部楼层 · 发表于 2007-8-3 17:42:31

TP好像防不了黑炸弹..

显示全部楼层 · 发表于 2007-8-3 17:42:54

像themida nod32完全就没辙，脱不了壳怎么能模拟出行为？？？

[转帖] nod32简约而不简单