关于红伞的特征码

┵￠urtain〆

在病毒样本当中拿到了满多鸽子， - -再免杀的也很少有免红伞的
    于是我用改了通用特征码的鸽子定位出了结果：

[特征] 000A6F04_00000001  000BF883
[特征] 000A70BA_00000001  000BF8C3
[特征] 000A758F_00000001  000BF933
  大家可以看看，这三处特征码:
1.000A6F04  --wininet.dll
2.000A70BA--wsock32.dll
3.000A758F--ws2_32.dll  

    可以看出，这三处特征码都位于导入表上，大多加壳工具都不会改变这里（废话，否则早就不能运行了）。红伞特征码定的刁钻，导致了高查杀率的发生。（其实这几处特征码都很好改，移位再改表就NOP了）
    最后说一点。红伞还有一点“可爱”的行径：- -超级杀壳杀花！过卡巴，我把已经过了红伞的鸽子手工加了花（其实只是一个跳转），结果等我改好了卡巴的特征码却发现，又被红伞给杀了。报的是Tr/Crypt，狂晕！


     PS：以上纯为个人意见，如有纰漏请指出。。。最后希望不要引起口水战- -

mofunzone

这个。。。
会做鸽子的人应该早都发现了。。

woai_jolin

加花想过小红伞的几率很小            倒是过卡巴容易

┵￠urtain〆

俄 是的
花只对金山和卡巴有用-  -
不过单花只能过卡巴表面
壳中加花过卡巴启发式扫描
至于主防- -依旧要手动特征

geforce

小红伞确实过于强大了，这现在用的不多，要是等都认识了，用卡巴的都换成他了，这可怎么办啊。

mofunzone

要那么好免杀antivir现在早就完蛋了，不过是杞人忧天罢了。。

zwl2828

红伞哪有那么好免杀啊

[ 本帖最后由 zwl2828 于 2008-4-5 12:23 编辑 ]

┵￠urtain〆

- -
定位的刻薄阿。。。
分析的只是通用鸽子- -

foreverhyx

厂家的技术也要不断进步的，不论是哪个公司

llxm920

以下是我针对红伞做的免杀，这几天我一直在做，想看看红伞定位的特征码，改好就上报，杀了再改`，3次后可能不耐烦了，直接定位我改的地方了``