干吗锁帖呀。只想谈谈看法

cici584522

原帖由 leonfg 于 2008-1-29 23:58 发表

这就是我说得“跳”

以前想无壳鸽子过NOD简直是一件不可能的事。。

去年7月份。。跟朋友一起研究了1个月。终于找到了突破办法。。

试过了很多种。。。但都不起作用

那时候红伞也顺便一起免杀了。。就是API移位法（现在对红伞无效）

但NOD32。。API移位也没用。。

虽然定位点都是在API上

有15处左右的特征。。。

但当时我就做了一个假想。。我就估计。。一个毒怎么可能会有工程师不闲烦的加这么多特征。。

我就估计这是启发式在作怪。。实际特征其实很少。。

然后我就针对输入表的DLL函数下手。。结果就找到了办法

具体改法我在这不好公开

cici584522

当时我把NOD32的启发特点描述为

“父亲与孩子”

输入表函数DLL就是父亲。API就是儿子。。

儿子无论去哪。。都可以通过父亲来找。。。

而如果父亲无法辨认。。那儿子自然就不会去判断。。

所以要对父亲下手


呵呵。。当时就是这么理解的

leonfg

我菜 看你们说
总之觉得不对劲儿，仅仅通过改特征过高启，那高启就只能探测已知了，与事实不符。这么说吧，有人编了个全新的毒，不加壳不免杀不改特征，都是纯的，那高启就过了？那ESET就没有引以为豪的东西了，全世界启发杀软也不用谈什么proactive。
有问题.....  
自己太菜，只能猜猜玩了 呵呵

[ 本帖最后由 leonfg 于 2008-1-30 00:29 编辑 ]

cici584522

原帖由 leonfg 于 2008-1-30 00:25 发表
我菜 看你们说
总之觉得不对劲儿，仅仅通过改特征过高启，那高启就只能探测已知了，与事实不符。这么说吧，有人编了个全新的毒，不加壳不免杀不改特征，都是纯的，那高启就过了？那ESET就没有引以为豪的东西了，全世 ...

你有兴趣就加我QQ。我远程给你演示下。。

我只是个做免杀的。。论辩论。。我不擅长

XANADU

我也菜，说启发不以特征为基础的人，不要升级病毒库了，高启发多强悍啊

我很想知道，如果删除NOD的病毒库，启发还有没有识别的能力。。。谁可以演示一下

我只测试过卡巴，完全删除病毒库，主防照样拦截不少样本

clc78223

其实楼主的说法应该是针对所有的杀毒软件而言，并不能只针对NOD32说这种评论，哈

XANADU

应该说是针对没有行为拦截能力的杀软
具有强大主防能力的NOD，改改特征就过了

还有没有其他的具有启发能力无行为拦截能力的杀软，宣称自己“具有强大的主动防御”？
偶见识少，目前只看到NOD这么说，其他的，说前瞻性防御的比较多。。。。

88180135

楼主太搞笑了  可以挑战全球杀软  
以后卡巴找楼主拿牌照号了

seanxuan

原帖由 taiw_1144 于 2008-1-29 22:00 发表
精彩，今天看到这，明天再看，楼下继续

确实精彩！大者、强者、智者、理者和小者、弱者、非者、乱者，都跃然纸上，精彩！驳得精彩、论得精彩、表演得精彩！

alskdjfhg

一个美国或者捷克的公司那么多人开发出来的技术就被你一人否定 ，还不如倒闭算了。也劝楼主自己去创业吧，既然你那么牛，不要把兴趣当成事业了，那样才是可笑