关于“ 试试你的杀毒软件的引擎是不是真的可以正确扫描~”一贴的问题

大金鱼先生

Lintel-TR 发表于 2013-2-21 15:57
别忘了功能壳
壳也可以作出病毒行为~

有些加壳器就是被注入过病毒的

小v可

我想说 按照楼主的关点 那还脱壳做什么呢？

Lintel-TR

大金鱼先生 发表于 2013-2-21 16:02
有些加壳器就是被注入过病毒的

很正常吧

大金鱼先生

小v可 发表于 2013-2-21 16:11
我想说 按照楼主的关点 那还脱壳做什么呢？

报壳机解决一切   以下摘自风暴维塔的开源部分[quote].版本 2

.子程序 检测壳子, 文本型, , -1 无毒
.参数 全a局c子介, 字节集
.局部变量 kss, 文本型
.局部变量 a, 字节集

kss ＝ “-1”
' 分析得到文件 (全局路径)
.如果真 (取文本右边 (文件路径, 3) ＝ “vir” 且 取文件尺寸 (文件路径) ＜ 69152000)

.如果真结束

.如果真 (寻找字节集 (全a局c子介, 到字节集 (“d.dllB”), ) ≠ -1)
    .如果真 (寻找字节集 (全a局c子介, 到字节集 (“UTDFGHKHCOOLWW”), ) ≠ -1)
        kss ＝ “Win32.UnKnowSqy”
    .如果真结束

.如果真结束

.如果真 (寻找字节集 (全a局c子介, 到字节集 (“

小v可

大金鱼先生 发表于 2013-2-21 16:17
报壳机解决一切   以下摘自风暴维塔的开源部分.版本 2

.子程序 检测壳子, 文本型, , -1 无毒

呵呵 报壳机强大~~

Flameocean

mmppp9898 发表于 2013-2-21 15:57
看了第一句就笑翻了！正常软件加壳才是壳的初衷和正确用法，病毒加壳只是后来病毒作者歪用加壳技术的结果 ...

样本数量太少太少，这毫无代表性，如果我全部弄微软，卡巴或者火绒都误报的样本，而其他的360，金山，费尔不报毒的，那么我可不可以说火绒或者微软的误杀厉害呢
测试不是第三官方的，样本数量少的可怜，而且帖子本身是火绒杀毒软件的官人。

mmppp9898

Flameocean 发表于 2013-2-21 16:56
样本数量太少太少，这毫无代表性，如果我全部弄微软，卡巴或者火绒都误报的样本，而其他的360，金山，费尔 ...

你的论点我看了，你说的有一点道理，算是一个思辨方向！但仅限于针对原帖的楼主！
我的话是针对这个另外开贴的这位楼主的，你的论点与我的话毫不相干，用错地方了哦!

√×√×√√×

daojianwuhen 发表于 2013-2-21 15:44
你就是那一贴的楼主是吧，你所使用的壳里面有一部分是一般病毒木马才会使用的，可疑不是正常的吗

囧，壳子没有错只是普遍都比较懒而已，我以前给山山上报KVM的扫描漏洞的时候，就用了某特殊壳这壳在我上报之前扫描可是从来不报的，谁知道我上报样本之后山山没去修漏洞就直接把我那样本的壳入库完事，导致现在任何东西只要一加那壳100%会被KVM报，数字也一样 囧囧囧

xyxljq

加壳是为了压缩文件和加密的作用吧。。。一般软件也会加壳的 不能以这个为借口