[转贴][多图]反木马软件也出假货 对木马杀客的行骗过程的总结

学习怪男

转自cnBeta

也不知道该发到哪个区，那就先发在这里，如果不对，那就麻烦版主转移帖子了，谢谢
～～

最近大家一直在讨论木马杀客行骗与否,我现在就将我做的测试及测试过程中发生的一些事件进行一次总结,是否行骗,大家一看便知:

测试一：
NO1、选取了网上盛传的那个名为Virus-2005-Test的前三个木马文件，如下图所示：

NO2、木马杀客最新的“病毒库”可以识别并“隔离”，如下图所示：

NO3、这是三个木马文件的MD5值，如下图所示：

NO4、这是第一个木马文件1.EXE的入口点：

NO5、将该文件的入口点加一之后保存（这是做免杀的最基本的东西），如下图所示：

NO6、同样的办法也修改另两个文件的入口点，修改入口点之后，MD5值也随之改变如下图

NO7、再用木马杀客去扫描，已经没办法扫到，如下图所示：

NO8、再将第一个木马文件的入口点改回去，如下图所示：

NO9、看到没有改为起初的入口点，如下图所示：

NO10、同样的办法也将其他两个木马的入口点改回去，看到没有，就算再将入口点改回去

，MD5还是和原来的不一样了。如下图所示：

NO11、再用木马杀客扫，还是扫不到。如果真如木马杀客作者在主页上吹嘘的那样，木马

杀客靠特征码识别的话，怎会将入口点加1修改，然后在改回去以后，就无法识别了呢。所以，真相就是

木马杀客就是靠的MD5+文件名识别。如下图所示：


NO12、选取了木马杀客的三个主文件。如下图所示：

NO13、改名字为灰鸽子的服务端名字。如下图所示：

NO14、木马杀客立即六亲不认，将其“隔离”之。看到这里大家又该明白了一点，木马杀客还靠文件名来识别。如下图所示：

测试二：
NO1、大家只要打开木马杀客的安装目录下，找到tmp这个目录，将其中的ZY.ENX改为

ZY.TXT。如下图所示：

NO2、大家就可以发现这里记录了大量的MD5值，我将第上面第一个测试中的1.EXE初始的

MD5在这个文件里搜索，还真的搜到了哟。但是你将后几次的MD5值进行搜索，是搜不到的，因为那还没有

被作者的这个“病毒库”所收录，所以也就复发查到木马了。如下图所示：

NO3、同理将该目录下另一个NAME.ENX文件改名为NAME.TXT，打开后，你也可以看到有很

多的可执行文件名。如下图所示：

NO4、选取了一个灰鸽子的服务端名G_server.dll（也就是测试一中用到的木马名），结

果也搜到了。如下图所示：

NO5、将TMP目录下的NAME.ENX和ZY.ENX删除之后，启动木马杀客只要点击扫描硬盘，就会

出现初始化杀毒引擎的提示。如下图所示：

NO6、而所谓的初始化引擎，不过就是将作者打包存在木马杀客目录下的virus.dat文件中

保存的NAME.ENX和ZY.ENX解压缩后，在TMP目录下重写生NAME.ENX和ZY.ENX文件，而这个，木马杀客作者

却宣称这两个文件起到什么木马杀客启动加速的作用，谎话说到这个地步，真是厚颜无耻，这两个文件其

实就是木马杀客所谓的"病毒库"！成如下图所示：

病毒库生成中：

病毒库生成中：

病毒库生成：

NO7、还有木马杀客目录下的那个skjm.dat文件，被瑞星报为木马的同时，卡巴也有该文

件键盘操作的提示，大家看，在10月15日发布木马杀客的时候，该文件的体积是12KB。如下图所示：

NO8、但被瑞星报为木马之后，作者迅速发布了一个新的skjm.dat文件，体积是122KB。如

下图所示：

NO9、为何文件体积有了如此大的改变，原因就是，新的skjm.dat文件，作者加了ASP的壳

来躲避瑞星的追杀。如下图所示：

测试三：
NO1、木马杀客的作者一直声称MMSK是其网站原传的反木马工具，但是我却发现这个所谓

的“原创作品”与木马专家这个软件，却有着说不清道不明的关系。如下图所示：

NO2、下载了木马专家2006版并安装。如下图所示：

NO3、木马专家目录下的INDEX.NEX和MD5.NEX文件和木马杀客TMP目录下的NAME.ENX和

ZY.ENX文件有着异曲同工之妙。如下图所示：

NO4、我提取木马杀客目录下的NAME.ENX和ZY.ENX文件。如下图所示：

NO5、将其改名为INDEX.NEX和MD5.NEX文件。如下图所示：

NO6、将这个两个文件覆盖木马专家目录下的同名文件。如下图所示：

NO7、木马专家依旧能启动，看来二者的“病毒库”是通用的哟，木马专家的这个注册表

备份，用惯了木马杀客的朋友，一定很眼熟吧。如下图所示：

NO8、看到没有，木马杀客的“病毒库”完全可以被木马专家调用。如下图所示：

NO9、看到没有二者的“病毒库”全部是一样的。如下图所示：


在来一个二者的病毒库的对比，只要你能在木马杀客中找到的，在木马专家的病毒库里一

样搜索得到！


NO10、连MD5也是一样的。如下图所示：

NO11、老办法了弄了几个空文件名，改名字为图中的木马名字。如下图所示：

NO12、换为木马杀客“病毒库”的木马专家照杀不误。如下图所示：

NO13、还有一点，木马专家动作实在是够快的。我曾经到二者的论坛上把这个帖子中的第

三个测试发到木马杀客和木马专家的论坛上，并质问二者到底谁在抄袭谁，两家的回答就颇有意思了。木

马杀客坚持说其是自己的原传软件，木马专家却肯定的说，木马杀客是有人抄袭了木马专家的产物，其中

的是非曲直，真的让人很难分辨！但就在帖子发出不久，木马专家迅速在11月28日发布的版本中，做了“

优化”，那些能在11月12日版本中识别的“木马”（空字节的文件），而到了28日的版本中就不能识别了

。如下图所示：

总之还是那句话，骗子就是骗子，不管你们的骗术多高明，骗局多精巧，但人民群众的眼睛是雪亮的，多高明的骗局总有被戳穿的一天！

虽然骗子在一次又一次的狡辨，但是大家可以看的出来他的辨解是多么的苍白无力，虽然骗子一直打着免费的旗号，但是大家都能看的出来他利用杀客赚亲情钱，利用木马专家赚昧心钱。

最后给大家献上电脑报的董师傅在对木马杀客进行评测后的一段总结：

现在的反木马软件基本上可以分为两大阵营：全能力的杀毒软件，通杀所有病毒和木马。乍一看，木马专杀软件“术业有专攻”似乎更胜一筹，用户容易对之产生信任感。然而通过验证，国内部分木马病毒专杀工具的能力让人怀疑，不可轻信软件作者的一面之词，用户应该慎用这类软件，以免感染木马病毒。

[ 本帖最后由 学习怪男 于 2006-12-22 12:56 编辑 ]

夏春秋

这个方法比太平洋版主的方法更加严谨，大家可以照此办理看看智慧星、姜斌杀毒究竟是怎么样的呵呵

YZC247

汗一个,真是不看不知道啊!

llluyan

lz强人也
打破砂锅问到底啊

wangjay1980

幸亏我用AVG

qyb179

对国产的彻底失望

juventusryp

恩,对国产真是失望...长了见识

tree5344068

寒一个，太失望了 ～～

chiosou527

这样呀 我还没用过什么杀木马的 现在用AVG

jungeliaoliang

强烈支持，强人一个