Themida在瞎人（软）狗眼方面还是好使

显示全部楼层 · 发表于 2020-4-4 16:42:03

AlphaRabbit 发表于 2020-4-4 16:38
这不是盗版，而是官网下载的DEMO版（x

我说 @QVM360

他的TMD全部被ESET报壳

显示全部楼层 · 发表于 2020-4-4 16:42:12

CHURP 发表于 2020-4-4 16:40
ESET 1X剩余

ESET敢双击吗

显示全部楼层 · 发表于 2020-4-4 16:43:04

本帖最后由 lifan88 于 2020-4-4 16:44 编辑

AlphaRabbit 发表于 2020-4-4 16:40
其实降低被检测率是其次，重点是加壳后，用户不能透过病毒名来判断这是不是误报。
此外就是，由于壳的反 ...

这些壳很变态的，加完后基本看免疫静态看字符串，除非运行的时候被读内存不然根本不知道里面是什么东西

而且反VBOX/Vmware/hyperV各种沙箱和虚拟机，我记得微步是VM体系的，肯定不行，有个VMP微步就傻了

PS：加壳简单但是分析逆向要哭的，不是人人都能拿头爆锤这些强壳。。。

显示全部楼层 · 发表于 2020-4-4 16:43:22

本帖最后由 CHURP 于 2020-4-4 16:45 编辑

a233 发表于 2020-4-4 16:42
ESET敢双击吗

不敢

，更何况是实体机

楼上都有个背过了

显示全部楼层 · 发表于 2020-4-4 16:43:45

a27573 发表于 2020-4-4 16:17
@QVM360 已经试过了

不过他的Themida可能被报盗版壳了，反正全部报壳

themida加壳很容易加坏，不知道为什么

显示全部楼层 · 发表于 2020-4-4 16:44:20

a27573 发表于 2020-4-4 16:42
我说 @QVM360
他的TMD全部被ESET报壳

惨
不过我的DEMO版在VT上也被报壳了

显示全部楼层 · 发表于 2020-4-4 16:44:30

QVM360 发表于 2020-4-4 16:43
themida加壳很容易加坏，不知道为什么

你的TMD版本可能比较老了

显示全部楼层 · 发表于 2020-4-4 16:45:53

AlphaRabbit 发表于 2020-4-4 16:44
惨
不过我的DEMO版在VT上也被报壳了

ESET报壳也不是无脑报

一般比较新的报的概率小一些

估计壳和杀毒软件公司也有合作，识别盗版壳

显示全部楼层 · 发表于 2020-4-4 16:46:57

lifan88 发表于 2020-4-4 16:43
这些壳很变态的，加完后基本看免疫静态看字符串，除非运行的时候被读内存不然根本不知道里面是什么东西
...

运行时观测内存的话也不现实，总不能要求反病毒引擎对所有加壳程序都丢到自制虚拟机里跑一次233。
何况TMD之类的壳有反内存Dump，之前UnknownCheat上那帮人都是手动Dump TMD壳的

显示全部楼层 · 发表于 2020-4-4 16:47:21

QVM360 发表于 2020-4-4 16:43
themida加壳很容易加坏，不知道为什么

我还记得上回那个engima魔鬼，硬生生没有一个认出来是勒索，就只有看动作才知道是勒索，然而加坏了

[病毒样本] Themida在瞎人（软）狗眼方面还是好使