NOD32VS费尔VS小红伞VS卡巴的病毒扫描能力

yybcym

NOD32VS费尔VS小红伞VS卡巴的病毒扫描能力（首先声名：本贴转自新手无毒网站）
时间:2008-08-21 20:12 （不算太老 ）     来源:网络　　 作者:未知
　　小红伞VS卡巴2009VS EAV VS费尔的病毒扫描能力横向测评最近看了不少卡饭测评区的测评帖子，对里面的测评方式不太赞同，我个人认为，判断一个杀毒软件杀毒能力的强弱，要看他对付变种病毒的查杀能力，换而言之就是黑客针对其做免杀的难易程度 PS：本人大一大二曾经花
　　小红伞VS卡巴2009VS EAV VS费尔的病毒扫描能力横向测评
最近看了不少卡饭测评区的测评帖子，对里面的测评方式不太赞同，我个人认为，判断一个杀毒软件杀毒能力的强弱，要看他对付变种病毒的查杀能力，换而言之就是黑客针对其做免杀的难易程度
PS：本人大一大二曾经花了一年多时间小钻研了下病毒，也曾通过入侵服务器挂免杀木马收获肉鸡达上千台，现在大三因为要准备CCIE考试才暂时撇下病毒的
PS：本人比较懒，就不一张张的贴图上来了，测试过程和结果均用文字描述，要是大家有兴趣可以按照我所描述的方法进行测试
测试方法：用一个小红伞，卡巴2009，EAV ，费尔都能识别的病毒样本，然后用常用的免杀方法对病毒进行处理，看看各个杀软的表现
测试病毒：黑防灰鸽子2008VIP会员专供免杀版，byshell黄金版，小红伞，卡巴2009，EAV ，费尔对其原版服务端进行扫描均能识别
首先测试对象：黑防灰鸽子2008VIP会员专供免杀版
步骤：
一，.按默认配置生成服务端
二，免杀处理之加单层壳，我们来用有“万壳之王”之称的驱动级壳——Themida1.7.3来加壳，而后用杀软扫描
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
三，免杀之加多层壳，依次使用ASPACK，maskPE，Svkp1.32来进行多层加壳，而后用杀软扫描
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
四，免杀之加多层变形壳，首先使用ASpack加壳，然后入口点减一，再maskPE，Svkp1.32来进行加壳后，入口点加一
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
五，免杀之添加花指令，向鸽子里添加花指令（所添加的花指令是我自己编写的，网上未公布哈）
PS：因为这个版本的灰鸽子服务端的code区段禁止写入数据，所以事先得用PE explorer来为code区段增加可写入数据的权限
卡巴2009——不识别
EAV ——报灰鸽子木马
小红伞——报灰鸽子木马
费尔——不识别

上述的扫描测试结果，卡巴的表现是如此令人失望，于是广大卡饭们肯定是不服气了，你们肯定会说，卡巴有主防，有了主防及时检测率较低也没什么，OK，那么我们来测试一款能穿透卡巴2009主动防御的远程控制木马——byshell黄金版（要钱的，须每年向作者支付200元方可使用，我这个byshell黄金版是朋友给的）
PS：顺便说下瑞星的主动防御，瑞星的主动防御完全就是个幌子，其实他的本质还是特征码杀毒！只使用主动防御的形式表示出来而已！以灰鸽子为例，只要NOP掉如下四个字符串：
自动上线/共享/未知/注册，即可成功穿透瑞星的主动防御，可以说瑞星的主动防御完全就是挂着羊头卖狗肉！！

byshell穿透主动防御关键是其服务端内部的名为：sys.sys驱动文件，而针对驱动文件的免杀只能采用修改特征码（尽管可以用VMprotect加密特征码，但是针对驱动级文件，这种方法极易出错，通用性不强），下面我们就看看我所测试四款杀软对其定义了几处特征码，定义的特征码越多，就能从侧面反映出免杀制作的难度越大
PS：大家不要以为使用影子系统，还原精灵，沙盘之类的工具就不会中毒了，我见过不少病毒就能穿透影子系统，还原精灵，沙盘，玩病毒最好还是用虚拟机，我目前为止还没见过能通过虚拟机感染真实机的病毒
特征码定义工具：MYCCL
定义结果：
小红伞——1 处特征码
特征码 物理地址/物理长度 如下:
[特征] 0000FA66_00000003

费尔——2处特征码
特征码 物理地址/物理长度 如下:
[特征] 00000277_00000002
[特征] 00000281_00000002

卡巴2009——2 处特征码
特征码 物理地址/物理长度 如下:
[特征] 0000D392_00000002
[特征] 0000F8FB_00000002

EAV ——10处以上的特征码。。。我已经定义了10处特征码，还没定义完，没耐心定义下去了。。。

总结：对付常规木马方面：小红伞不愧为杀鸽专业户，对鸽子的查杀能力极为出众，常用的免杀方法对小红伞无效，卡巴的查杀能力依旧令人失望，卡巴我从5.0就开始玩起了，一直到现在，对付多重加密壳以及未知花指令的能力依旧未得到改善，其启发式能力依旧羸弱（从其不能对付未知花指令就能看出）。EVA也让我失望透顶，我从NOD32 2.5开始玩起的，到现在其脱壳能力依旧未得到改善，至于费尔，其完全不具备脱壳能力，其启发式能力也是弱到不值得一提（从其不能对付未知花指令就能看出）。
对付驱动级木马方面：EAV 最为强悍，不愧为启发式最强的杀软，从我玩病毒的经验来看，驱动级木马一旦被NOD32顶上，免杀是很难的，但是其对中国市场貌似还不是很重视，病毒入库速度实在是太慢了。小红伞的启发式能力只是针对灰鸽子时还比较强，但是其对付其他木马尤其是驱动级木马时，启发式能力就比较弱了

PS：我用步骤二，步骤三，步骤四的免杀方式去处理了下byshell的 exe 文件，发现红伞均不能识别，看来红伞的脱壳能力很一般，只是针对灰鸽子加了些带壳定义特征码

[ 本帖最后由 yybcym 于 2009-4-25 10:19 编辑 ]

steps88

坐个沙发慢慢看

王子带着刀

就看看 不说什么

bukkake

怎么不测一下其他的

liu95166

同上，不过，呵呵，算了，等高人评析

lingbo110120

NOD只要发现 加了Themida的壳 就会报...

NOD的脱壳的确不怎么样  入库速度已经有了提高..
（当然不包括休息天  懂的人都懂什么意思）

[ 本帖最后由 lingbo110120 于 2009-4-25 10:10 编辑 ]

313865827

看看做个参考了。

steps88

转帖 。。。。。还以为楼主自己写的。。下次最好早点注明转帖

[ 本帖最后由 steps88 于 2009-4-25 10:14 编辑 ]

lm91128

不懂。。。。

yybcym

我的标题类型就是转贴，你自己没有看清楚