楼主: vm001
收起左侧

[讨论] 测试360 火绒 卡巴 腾讯管家对病毒样本加vmp壳后的扫描测试

   关闭 [复制链接]
pal家族
发表于 2017-1-5 14:24:46 | 显示全部楼层
学雷锋做人 发表于 2017-1-5 14:17
@pal家族 我也不相信这是卡巴的实力,因为你是卡巴忠实用户,我觉得还是你比较有发言权

我技术水平太低,没法解释。只能去问下技术支持
pal家族
发表于 2017-1-5 14:47:48 | 显示全部楼层
本帖最后由 pal家族 于 2017-1-5 15:08 编辑

实机双击测试10个加vmp壳的病毒

KS 18.0.0.302 EN-US
Windows10 10240 LTSB x64

adam alpha cryto dummy manifest slimhem无法运行
asn1没有行为
brain maktub主防杀
MRCR 运行后几秒后退出




7个文件没法正常运行+闪退。一个没行为。剩下两个SW杀了。


@驭龙 @学雷锋做人

测试结果如此。我水平低,不发表其他结论


根据错误提示:
微软的解释是

错误消息
不能启动此应用程序。
原因
该应用程序未配置以使其可以确定适当版本的.NET Framework 运行时的一种。相应的填充代码为SHIM_NOVERSION_FOUND。
解决方案
您不能自己解决配置问题。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 说好的RQ

查看全部评分

jefffire
头像被屏蔽
发表于 2017-1-5 14:48:57 | 显示全部楼层
本帖最后由 jefffire 于 2017-1-5 14:52 编辑

是不是真的脱壳 ,需要对报毒名称,种类详细对比。不能光看加壳前后报了几个就断定是否脱壳。

先说360。 加壳后,不论白文件还是黑文件均有部分被QVM16.0.78D1 这个特征命中 可见这个特征分类实际上是壳特征,但并不是刻意提取的VMP特征,猜测是部分带壳病毒样本 在机器学习过程中被自动抽取的特征命中的结果。360并没有脱VMP壳的能力。

再看火绒。仅从截图看,加壳前后火绒报毒名称均是一致的。这说明确实脱掉了VMP壳 ,但是依然有部分样本没有成功脱掉,从而漏报。

再看管家。从表面来看似乎管家能够脱掉VMP壳。但从截图信息看,病毒文件加壳前后报毒名称并不相同。加壳前能够识别出样本的具体种类,加壳后则是模糊的Kryptik也即加密。可见管家其实是抓取了壳特征,并不是脱壳。至于为何白文件加壳后不报,猜测管家可能对常见白文件提前加壳测试,做了特征上的处理(此处值得商榷)。


评分

参与人数 3人气 +3 收起 理由
电脑发烧友 + 1 感谢解答: )
驭龙 + 1 真正的好回复,赞
vm001 + 1 感谢解答: )

查看全部评分

反病毒测试员
发表于 2017-1-5 14:49:23 | 显示全部楼层
本帖最后由 反病毒测试员 于 2017-1-5 14:51 编辑
学雷锋做人 发表于 2017-1-5 14:21
仅凭一个VMP外壳测试就说明卡巴不行,火绒最强,这是最盲目的,对于卡巴用户来说是不服的,比如12楼


我觉得测试最有说服力

评分

参与人数 1人气 +1 收起 理由
jefffire + 1 之前测瑞星的时候 可没有你哟

查看全部评分

学雷锋做人
头像被屏蔽
发表于 2017-1-5 14:52:29 来自手机 | 显示全部楼层
本帖最后由 学雷锋做人 于 2017-1-5 14:54 编辑
pal  2017-1-5 14:47
10vmp

KS 18.0.0.302 EN-US


看来还是卡巴有经验,加壳并不能保证程序能正常运行

评分

参与人数 1人气 +1 收起 理由
pal家族 + 1 乱码??

查看全部评分

vm001
 楼主| 发表于 2017-1-5 14:52:33 | 显示全部楼层
学雷锋做人 发表于 2017-1-5 14:17
@pal家族 我也不相信这是卡巴的实力,因为你是卡巴忠实用户,我觉得还是你比较有发言权

首先对这个测试第一个怀疑卡巴成绩的不是
@pal家族已经测试
而是火绒的官人,火绒的人也不相信卡巴会是0,而测试结果他却就是0了


然而这帖子我并没说谁最强,也并没有说脱壳能力,而是说测试加vmp壳的处理能力(脱壳不是唯一的处理方式)

测试帖子只是想阐明我个人观点,不管是国内杀软,国外杀软,没有谁就注定比谁高,也没有谁就比谁低。。
就拿这里几款软件对付这里提供的勒索来说
360加壳后扫描出3个,然而如果运行的话,360行为防御可以全部拦截
那反过来说360就最牛逼了吗,一样如果这种方式用在单文件exe或者白+黑远控上(免杀文件用新域名),360就要歇菜了。。
然后再看卡巴m,虽然扫描是0,但是主防可以拦截回滚一部分
那么再来说火绒,这样看来火绒对家族样本的抗免杀能力确实要比360强,然而那就代表火绒最牛逼了吗?同样不是,新的勒索出来还是有部分会哑火,一部分行为防御报毒。
在返回来说什么需要什么杀软保护你,是要根据你的使用环境来决定的,每个杀软有他突出的领域,也有他看不到的地方。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
发表于 2017-1-5 14:54:45 | 显示全部楼层
pal家族 发表于 2017-1-5 14:47
实机双击测试10个加vmp壳的病毒

KS 18.0.0.302 EN-US

我只是看热闹的,不关心结果。

RQ恢复中
skycai
发表于 2017-1-5 14:54:55 | 显示全部楼层
jefffire 发表于 2017-1-5 14:48
是不是真的脱壳 ,需要对报毒名称,种类详细对比。不能光看加壳前后报了几个就断定是否脱壳。

先说360。 ...

这个有可能比较接近真相。
毕竟测试的白样本都是“常见”的白样本。
如果弄个不常见的白文件来加壳,说不定就有其他的结论了。
skycai
发表于 2017-1-5 14:55:55 | 显示全部楼层
pal家族 发表于 2017-1-5 14:24
我技术水平太低,没法解释。只能去问下技术支持

免费版做了一定“阉割”的缘故?
pal家族
发表于 2017-1-5 15:03:26 | 显示全部楼层
skycai 发表于 2017-1-5 14:55
免费版做了一定“阉割”的缘故?

这个超出了我的知识水平啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 17:18 , Processed in 0.105513 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表