关于“阿呆喵”被多款反病毒软件检测到 Fake-AV 的一个说明

显示全部楼层 · 发表于 2015-12-14 21:46:02

本帖最后由 Wesly.Zhang 于 2015-12-15 22:06 编辑

Hello，

事件是这个帖子里面的内容：http://bbs.kafan.cn/thread-1869719-1-1.html，因为这个帖子已被关闭，所以我在那个帖子里面说的一个关于“壳”的诡异，我在这里简单说下道理，貌似阿呆猫的作者 PM 了我，我也在 PM 里面回答了有关问题。

首先对于卡巴斯基查文件报告存在恶意程序的第一时间我就简单的看了下 ADM.exe 这个文件被多款反病毒软件检测到存在 Fake-AV。关于这点第一时间检查 ADM.EXE 的加壳情况，发现是一个 upx 的壳。按照道理不应该会被错误识别，那么就进行一个简单的静态分析，首先 upx 的壳可以通过 upx 自行脱掉。命令 upx -d + 文件完整路径。对于脱壳后的 ADM.EXE 进行扫描，结果是任何反病毒软件都不会将其检测成为恶意程序。之后在使用 upx 对 ADM.EXE 进行重新加壳，加壳后的 ADM.EXE 也不会在被反病毒软件检测到恶意程序。所以在这里可以得出一个简单的结论。

要么在作者这边对 ADM.EXE 加壳后，作者对加壳后的 ADM.EXE 又进行了修改导致杀毒软件对于异常的 upx 壳匹配 Fake-AV 特征库，或者作者的计算机上存在恶意程序，在加壳过程中感染了加壳的 ADM.EXE ，以上两种可能都会存在，建议作者自行排查问题。

由于时间原因，没有对脱壳后再重新加壳后的 ADM.exe 与安装包内的原生 ADM.EXE 进行对比，我在这里是对发生这种奇怪事情的探讨，并非对阿呆猫程序有任何不当的言论，我在那个帖子后面看到有人攻击了阿呆猫，卡饭是一个和气的地方，大家求同存异，共同进步。

简单问题测试步骤：

1. 使用 7 ZIP 解压缩安装包，提取到 ADM.EXE 主程序，取名 ADM_Default_PE.zip 解压密码 virus，将其解压缩到 C 盘根目录。

ADM_Default.zip (380.07 KB, 下载次数: 390)

显示全部楼层 · 发表于 2015-12-14 21:51:00

@飘落的泪
版主大大给个高亮！

显示全部楼层 · 发表于 2015-12-14 22:03:46

蚊子版主亲自出来说了，来学习下

显示全部楼层 · 发表于 2015-12-14 22:04:28

其实ABP就够了，挺方便的

显示全部楼层 · 发表于 2015-12-14 22:47:34

这个说明相当及时，感谢楼主的分享。本人也在用阿呆猫，在win10 64位EDGE上相当好用，这是事实。

显示全部楼层 · 发表于 2015-12-14 22:50:12

其实uBlock Origin就够了，挺方便的

显示全部楼层 · 发表于 2015-12-14 23:45:12

ADM_Unpacked解压缩出来的替换主程序，ADM无法启动
ADM_Packed解压缩出来的，直接被KIS2016秒杀

显示全部楼层 · 发表于 2015-12-15 08:29:14

来学习下

显示全部楼层 · 发表于 2015-12-15 09:10:57

本帖最后由 Wesly.Zhang 于 2015-12-15 09:30 编辑

zzw1982 发表于 2015-12-14 23:45
ADM_Unpacked解压缩出来的替换主程序，ADM无法启动
ADM_Packed解压缩出来的，直接被KIS2016秒杀

Hello，

我刚才又去重新测试了下，确实有发生了检测，昨天还没有

。已经提报 KL Virus Research。

显示全部楼层 · 发表于 2015-12-15 12:00:18

好的, 感谢说明. 我把我用的upx上传到百度云了.
链接：http://pan.baidu.com/s/1dEgW4DF 密码：sxz3

大家检测一下有木有问题.

[已解决] 关于“阿呆喵”被多款反病毒软件检测到 Fake-AV 的一个说明

评分