实验中的技术（更新到2.0）

jehovah_king

你没听说某些杀软到处炫耀自己脱壳厉害，自己的虚拟机技术厉害吗？
加的壳可以脱，切片的目的是让杀软不认识

FBAV

原帖由 solcroft 于 2008-2-2 17:05 发表
FBAV好久不见，一回来就水了

在学校写作文写多了…………

solcroft

启动项当然包括所有的
服务，启动，shellexecute，shellservicedelayload，startup scripts，还有什么一大批其它的
不要告诉我你的启动项的定义只是currentversion\run

FBAV

大家都是来交流的……
所以无所谓好与坏
支持在本贴中所有发表看法的人
祝你我他们新年快乐 万事如意 合家欢庆 共度新春

mofunzone

你的切片技术完全是和免杀前的样本有关的
除非是虚拟机行为启发的，类似bd，你切了是实在没法运行了，或者nod32的unknown，这就真没办法了
只要是有用特征识别了的，你不会加壳，例如就套一个aspack或者upx，剩下的都不会了，你切片前的样本被特征识别到，你切片了特征还在，特征码是和文件的可执行性完全没有关系的，而且不是md5，你改一下就没的东西，是代码段定位的，你根本就没法把文件切成代码段的大小，所以只要有一个特征，你切片后的免杀性为0
你要是会自己改，加花什么的，何必用这个技术？直接改了就免杀得了

jehovah_king

大量的杀软是先识别壳，再尝试脱壳杀毒
壳都不认识，怎么脱？
如果加一次壳就要重新写特征，你还让不让病毒分析师休息了？

mofunzone

你根本没理解我的意思
他这么做就是为了彻底的免杀，连硬盘上都不要留下痕迹，你写了服务，驱动什么的，一眼就被人看出来了，有什么意义
而且你要写服务，驱动，同时加载1w个文件，势必的写inf文件在硬盘，这不是败笔吗？

FBAV

我做病毒都先把文件头中的壳特征抹掉
大家不妨看看易语言论坛的cnvpe.fne支持库
等于说是加了一个最免杀的壳

并且XX吹嘘的虚XX脱壳 也有漏洞
加一些虚拟机花指令 就行了

[ 本帖最后由 FBAV 于 2008-2-2 17:20 编辑 ]

fishx

原帖由 jehovah_king 于 2008-2-2 17:15 发表
大量的杀软是先识别壳，再尝试脱壳杀毒
壳都不认识，怎么脱？
如果加一次壳就要重新写特征，你还让不让病毒分析师休息了？

有的杀软不脱壳,见壳就杀

jehovah_king

只学过basic麻烦推荐一个比较好学的编程软件