对于红伞最近出现的"双后缀门"事件的个人浅显分析

hddgmon

这个问题俺来胡说两句！

这里先声明红伞对于这个无威胁文件的处理绝对是误报，没有什么疑问

下面开始分析

第一步，将lame脱壳，如图1，可以看出俺们的lame已经露屁股了

然后对脱光了的lame加双文件名，如pic_1-1,红伞无反应

第二步，将被脱光了的lame，分别加Upack，ASPack，ACP保护，输入表伪装，入口点伪装后的文件进行双后缀命名，结果无一例外均误报如图pic_2

最后，意外的发现红伞对于俺的最爱ORiEN，却没什么反应，不只为何（果然不愧为俺的最爱）

总结，红伞对于壳子的敏感已经达到一种境界，同时他也将输入表和入口点的改写视为一种加密并报警，再这样下去对红伞的发展很不利，由于时间和个人能力所限暂不能提供手动修改文件使其具备误报特性的例子，有机会再研究，个人观点仅供参考

[ 本帖最后由 hddgmon 于 2008-4-12 18:14 编辑 ]

xinguoguoguo

有理有据，支持楼主

秋叶濛濛

占楼看分析

闪电战

额~不要啥都弄个门出来好不好？

我一直认为XX门是某些不学无术的妓者瞎凑热闹乱用
Water Gate可以一个整体专有名词

gmen_pliskin

个人觉得是对“误报”这个词有不同理解。楼主的理解是对无害文件弹出警告框就算“误报”。

Brud

红伞P，在哪看病毒库数量的？
每次更新，不知道更新了什么

zwl2828

对误报的定义不同

zwl2828

原帖由 Brud 于 2008-4-12 18:31 发表
红伞P，在哪看病毒库数量的？
每次更新，不知道更新了什么

看病毒库数量：随便扫描个文件，点击Report，看上面几行
会有一个类似的Scanning for XXXXX virus strains and unwanted programs.
那个XXXX就是病毒库数量。
目前（截至2008年04月12日 18:34:02）红伞P的病毒库数量为1198942

查看更新了什么，可以到官网去看

ykz1991

后缀名门 崇拜LZ
mofun已经说的很清楚了

hiddenextention是为了防止u盘病毒和office病毒的，因为有些伪装成别的文件，类似曾经很火爆的一个xlm图标的u盘病毒

至于crypted.E可能是壳+后缀名的启发
OK，这件事算完了，请别再磨叽了

时间简史

这个不好说啊~~~