毒霸真的不报壳吗？

will

刚刚看到一个讨论的很火的帖子里一位高人的话：

放心，我会“自己建立一个标准更合适的”，初步设想是对于金山这种不报壳的进行右键扫描外，加上运行扫描的结果，但鉴于样本太多，所以会采用软件随机抽取每日剩余样本的10％进运行检测。这样总成绩＝现有的on-deman ...

、

详见：http://bbs.kafan.cn/viewthread.php?tid=346559&page=3#pid5134478

那我们来验证下所谓的“不报壳的”金山到底报不报壳？

源文件采用的是Windows Vista Ultimate SP1 English(US) Edition中的notepad.exe

加两种壳PolyBox和MaskPE，用毒霸2008.10.13.10的库来扫描，结果如下：

Multi Command-Line Scanner Report
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\Clean_notepad.exe   
MD5 Hash: DAF60E13E96ECB67F0EDAA89C6B01B8D   
Type: Windows Screen Saver / Extension: .SCR   

Kingsoft ----- Nothing   

*** 0/1 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\MaskPE_notepad.exe   
MD5 Hash: 905DDD70E5515C534A376000FC265EF9   
Type: Windows Screen Saver / Extension: .SCR   

Kingsoft ----- Win32.Hack.MaskPET.a.36864   

*** 1/1 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\PolyBox_notepad.exe   
MD5 Hash: D6402A7B46522094FBC108A34C447B29   
Type: Win32 Executable Generic / Extension: .EXE   

Kingsoft ----- Win32.Troj.PSWNilage.as.20790   

*** 1/1 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   

Task done @ 2008/10/13 һ 13:09:44.18   

很不幸的，两个被加壳的notepad.exe都被报毒~
据说nsanti的变形壳毒霸一样报的乐呵呵，可惜手上暂时没有于是不做测试了

PS.
在找nsanti壳时，无意间发现了一个可以过毒霸的壳，为了广大毒霸用户着想，就不报上壳名了
附件里的vomjd.sys毒霸可以检出，一旦加上这个国产壳，毒霸就被过了
PS.据锈剑反馈说这个驱动是特例，某些样本加壳后毒霸仍然报。。
扫描结果：

Multi Command-Line Scanner Report
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\Original_vomjd.sys   
MD5 Hash: E77386C30CBCCFEFE0A9C15D1DF8F5F0   
Type: Generic Win/DOS Executable / Extension: .EXE   

Kingsoft ----- Win32.Troj.AgentT.gu.28800   

*** 1/1 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   
D:\Desk\Samples\Collect\MCLS\Packed_vomjd.sys   
MD5 Hash: 8616A958D16459FE625215680421FBD1   
Type: Win32 Executable Generic / Extension: .EXE   

Kingsoft ----- Nothing   

*** 0/1 antivirus engines found virus in this file ***   
-------------------------------------------------------------------------   

Task done @ 2008/10/13 һ 13:16:49.06   

--------------------------------------------------------------------------------------------
在这里附上所有样本，大家该上报的上报
不上报的不妨也测试下自己的杀软，看看如今到底还有没有所谓的“不报壳”的杀软吧？





[ 本帖最后由 will 于 2008-10-13 13:43 编辑 ]

The EQs

现在几乎所有厂商都建立了黑名单/灰名单的壳，不过有些厂商会乱报，比如VBA32会将一些加壳工具乱报鸽子

linjw

Begin scan in 'D:\Sample.zip'
D:\Sample.zip
    [0] Archive type: ZIP
    --> MaskPE_notepad.exe
      [DETECTION] Contains HEUR/Malware suspicious code
    --> PolyBox_notepad.exe
      [DETECTION] Is the TR/Dldr.Age.90624.A Trojan
    [NOTE]      A backup was created as '495fdb9a.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!


Begin scan in 'D:\Bypass_Kingsoft.zip'
D:\Bypass_Kingsoft.zip
    [0] Archive type: ZIP
    --> Original_vomjd.sys
      [DETECTION] Is the TR/Rootkit.Gen Trojan
    [NOTE]      A backup was created as '4962db8b.qua'  ( QUARANTINE )
    [NOTE]      The file was deleted!

无尽藏海

原帖由 EQ2 于 2008-10-13 13:24 发表
现在几乎所有厂商都建立了黑名单/灰名单的壳，不过有些厂商会乱报，比如VBA32会将一些加壳工具乱报鸽子

IK

taoyuan237

瑞星报了

djdfm

原帖由 will 于 2008-10-13 13:23 发表
http://bbs.kafan.cn/thread-346717-1-1.html

说错了，是不完全报壳，以前看过一些资料，金山和江民,瑞星都可以杀掉一些壳的，我原话针对的是不报的壳而言的，你不去整体考虑我说话的主题，而是针对我一句错话攻击，还要举个列子，这样意义何在？ 不是违背了我发帖的本意了么？

我只是想说明现有的检测率不能真实反映一个杀软的防毒水平！虽然版主有说明，但普通人还是会误解，想必很多人都不知道右键扫描无毒的样本运行以后会报毒并被清除吧！不是每个人都如你一般的高手。仅仅这样而已！已经离题万里，不说了！

will

照你的构想  那是不是需要其他的粉丝也发几个帖子：
瑞星测试成绩被严重低估
江民测试成绩被严重低估
趋势测试成绩被严重低估
熊猫测试成绩被严重低估
咖啡测试成绩被严重低估
…

本来杀软扫描区测试的就仅仅是杀软的病毒库和引擎
如果从整体的防御效果来测试 恐怕整个区都要改名了

至于你提出的问题（现有的检测率不能真实反映一个杀软的防毒水平）
这个恐怕是人所共知的，因为现在越来越多的杀软都是特征码监控与主防共存了

djdfm

原帖由 will 于 2008-10-13 13:42 发表
照你的构想  那是不是需要其他的粉丝也发几个帖子：
瑞星测试成绩被严重低估
江民测试成绩被严重低估
趋势测试成绩被严重低估
熊猫测试成绩被严重低估
咖啡测试成绩被严重低估
…

本来杀软扫描区测试的就仅 ...

你的理解有问题，我发现你看文章都是一句一句理解的。“我只是想说明现有的检测率不能真实反映一个杀软的防毒水平！虽然版主有说明，但普通人还是会误解，想必很多人都不知道右键扫描无毒的样本运行以后会报毒并被清除吧！”和你说的“至于你提出的问题（现有的检测率不能真实反映一个杀软的防毒水平）
这个恐怕是人所共知的，因为现在越来越多的杀软都是特征码监控与主防共存了”有逻辑关系吗？？ 按我的构想能够得出“照你的构想  那是不是需要其他的粉丝也发几个帖子”这样的推断？
可是可是我觉得我已经说得很清楚了，你不理解我发帖的目的我也不想说了。

c5132902

很少看到AVG得启发！！！

tanlimo

nod32

G:\Bypass_Kingsoft.zip > ZIP > Original_vomjd.sys - 可能是 Win32/Agent.ODM 特洛伊木马 的变种
G:\Bypass_Kingsoft.zip > ZIP > Packed_vomjd.sys - 正常

G:\Sample.zip > ZIP > Clean_notepad.exe - 正常
G:\Sample.zip > ZIP > MaskPE_notepad.exe - 正常
G:\Sample.zip > ZIP > PolyBox_notepad.exe - 可能是 Win32/Injector.V 特洛伊木马 的变种