特征免杀对抗游戏,Nullsoft PiMP Stub壳被peter08成功免杀,继续修改,继续游戏

yjwfdc

特征免杀对抗游戏

最近在学习写杀毒软件,所以想了解各种特征的免杀难度.

所以想找各高手帮忙测试一下.

游戏规则:

我发一个查杀软件A和文件B(不是病毒)出来.不是样本,文件B有大厂签名.
查杀软件A是我写的程序.
查杀软件A内置了这个B文件的特征,由于特征是模糊特征,所以会有误杀,最好提供一下误杀信息.

测试者用各种方法修改B文件,让查杀软件A无法检测到这个文件,而修改后的B文件是可以正常使用的.

由于本人很菜,所以是很容易免杀的,请勿取笑.

在24小时内完成一种以上方法的,我帮加一人气.

如果不合版规,请版主告知.

=============================
1.由于第一个查杀程序对于文件大于500000字节会跳过,李白加大文件到1.3M免杀成功.

继续游戏,修改为100m以下都查杀.免杀成功加3人气.
网盘下载
查杀软件A1.exe
http://www.vdisk.cn/down/index/9366861A9139

现在是验测出Nullsoft PiMP Stub壳就报毒.游戏规则改为明明加了Nullsoft PiMP Stub
让软件检测不出是Nullsoft PiMP Stub壳,就是为Nullsoft PiMP Stub壳免杀.
======================
2.Nullsoft PiMP Stub壳被peter08成功免杀,继续修改,继续游戏
新启发未做完,先继续玩玩这个,这次没有反虚拟机.免杀成功加3人气
查杀软件A2.exe
http://www.vdisk.cn/down/index/9386811A1043



B文件
样本区
http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid22669931
网盘
http://www.vdisk.cn/down/index/9366901A7966

天原

加花加壳改md5捆绑之类最常用。说实话人气不值钱，

已经入库了弄免杀…还存在误报…
手机党只能看看了

zhq445078388

myccl 定位下 然后等同指令修改 或者字符串大小写修改 都能过掉
建议还是弄个汇编和自字符串双定位的

yjwfdc

天原 发表于 2011-12-26 14:31
加花加壳改md5捆绑之类最常用。说实话人气不值钱，

已经入库了弄免杀…还存在误报…

主要不是人气,大家玩玩而已.

yjwfdc

zhq445078388 发表于 2011-12-26 15:34
myccl 定位下 然后等同指令修改 或者字符串大小写修改 都能过掉
建议还是弄个汇编和自字符串双定位的

试过才知道啊.不试,怎么知道能不能过呢?估计都不能过.不是你的引擎啊!

悟心之道

纯支持
飘（yjwfdc）
学习研究
杀毒原理、方法、并实践提高。
希望能变神秘为通俗。
继续关注

火雪心

纯支持
对这种无爱了

yjwfdc

10个人下载了,怎么没人回复啊,回复一下误杀率也好啊.

-oAo-

免杀一般就是加花加壳改md5

yjwfdc

-oAo- 发表于 2011-12-26 19:32
免杀一般就是加花加壳改md5

这个我也知道