收到来自VB100％技术顾问的一封email

mofunzone

原帖由 solcroft 于 2007-2-2 22:14 发表

在下与某人不一样，不喜欢那个人观点来当理论，样本我当然运行过（用virtual pc程序）。很多不是死样本，就是加壳过的，解压后杀软统统都报。一开始本人还干劲十足把样本发给反毒公司，发现过后就有点失望了， ...

解压？
我对你这个词语很是感兴趣
你所谓的解压是什么？
从rar里面拉出来？
对于加壳病毒，没有解压这个概念，有的只有脱壳这种概念
您真的理解脱壳需要那些技术吗？
首先的是，加壳的目的是为了改写文件特征码，这个是最基础的，而且还要躲避很多软件的代码追踪
所以，加壳第一要反代码追踪，第二就是改写区域码，有些还会加花，还会做跳针
如果你真的有技术对于加了2次的nspack或者4次upx的文件进行脱壳编辑，我相信你也不会在这里了
加壳的目的是什么？
伪装一个文件使得文件躲过反病毒软件的扫描
目的是什么？
因为加壳使得文件体积变小，我可以在一个文件里面储存10个病毒，但是加壳之后体积依然可以小于100kb
在躲过反病毒软件的查杀之后，用户运行了程序，使得系统感染
为什么我要强调多个病毒同时压缩呢？
目的就是使得反病毒软件即使拦截了一些，但是还有部分漏网之鱼可以继续运行进入系统
对于nod这种非行为监控软件来说
扫描不报病毒就是一种威胁
不要总是把运行之后报毒说的那么厉害
为什么云新会报扫描不会报呢？
你需要思考
再有就是，虽然运行报了，但是未必能全部拦截，因为有些文件释放出自动hook系统进程，你根本就无法删除
我想说的是，对于nod，不报他就已经输了

solcroft

老兄，在下不是中国人，是说ABC的，我用错一个单词你没必要发表这么大文章吧？好了是该说脱壳不是解压，你要的话，我就用英语来说，免得再说错话。

Unless you happen to be using a cryptic self-devised packing algorithm, you can only pack one executable into each file. The issue of multiple viral code in that same file itself is moot - as long as the antivirus scanner can detect at least one of them, the file will be flagged as infected, which solves the problem entirely.

Again, I highly suggest you use real-world virus samples that are confirmed to be active (i.e. have trashed someone else's system) if you truly expect to arrive at any objective result of whether a scanner can detect that particular virus strain. AntiVir's heuristics system is known to be outrageously indiscriminate - it once reported almost 70% of UPX-packed (harmless) executables on my system as suspect. While it may be entertaining to test antivirus software by using self-manipulated code, I recommend you stop confusing yourself by taking the results too seriously.

And oh, by the way, you didn't answer my question. Have YOU ever executed the virus samples?

mofunzone

原帖由 solcroft 于 2007-2-2 22:37 发表
老兄，在下不是中国人，是说ABC的，我用错一个单词你没必要发表这么大文章吧？好了是该说脱壳不是解压，你要的话，我就用英语来说，免得再说错话。

Unless you happen to be using a cryptic self-devised p ...

你说antivir报了你系统上70%的upx文件，我根本就不相信，你把你误报的文件发上来
我做鸽子这么多年，对于文件的加压解压简直熟悉的不得了了
upx还会被antivir误报
就在你发完了这个帖子，我自己亲用upx加密了n个我自己系统上的文件
如果这个文件antiivr原来不报，加壳之后也100%不报
我希望你把你报的文件发上来，我也好看看，什么壳我没用过？
流行的aspack,nspack,upx,fsg等等等我这里都有
从来没有看见你这种情况
至于我有没有运行病毒
我没hips，也没有虚拟机
但是我相信我已经很明确的解释了为什么
nod不是行为分析软件，如果不报的话就是威胁
我的一个文件可以释放10个文件，10个小型的用vb或者delphi写的文件
如果这10个里面有一个nod没报告，那你就可以和你的电脑说再见了
当年顶狐下载者就是这个工作原理
所以不要把运行后报告病毒想的有多好
nod已经输了

mofunzone

把你最爱的nod32加壳了
加壳前不报，后也不会报的

绅博周幸

支持M版，我常年收集病毒也是这个结果，NOD32对付病毒还行，国马的，嘿嘿

gary_zl

我的电脑我作主，权威只有我一个，我觉得哪个好就用哪个，以血和泪换来的经验才值得宝贵，熊猫的truprevent比nod的启发更好

mofunzone

原帖由 gary_zl 于 2007-2-2 23:16 发表
我的电脑我作主，权威只有我一个，我觉得哪个好就用哪个，以血和泪换来的经验才值得宝贵，熊猫的truprevent比nod的启发更好

熊猫的tp确实满厉害的
主要是熊猫貌似有一些hips功能
但是熊猫太消耗资源，特别是开启tp之后，很大的缺点

[ 本帖最后由 mofunzone 于 2007-2-2 23:22 编辑 ]

绅博周幸

熊猫的truprevent比nod的启发更好

solcroft

原帖由 mofunzone 于 2007-2-3 14:52 发表

你说antivir报了你系统上70%的upx文件，我根本就不相信，你把你误报的文件发上来
我做鸽子这么多年，对于文件的加压解压简直熟悉的不得了了
upx还会被antivir误报
就在你发完了这个帖子，我自己亲用upx加密 ...

老兄，不要再避开话题了，要不会没完没了。你要对VB100%心怀疑忌，说来说去到后来还是因为NOD32不报你那一堆的加工病毒。针对这一点我已做出解释，你也还未回应。

再澄清，我个人没什么“亲爱”的杀软。在下和某人还有另外点不一样，就是各派杀软的长短都看得清，不把杀软当神拜，更拒绝对杀软这一类的迷信+错误观念。

mofunzone

原帖由 solcroft 于 2007-2-2 23:41 发表

老兄，不要再避开话题了，要不会没完没了。你要对VB100%心怀疑忌，说来说去到后来还是因为NOD32不报你那一堆的加工病毒。针对这一点我已做出解释，你也还未回应。

再澄清，我个人没什么“亲爱”的杀软。在 ...

根本不是心怀疑虑，因为我很清除的分析了为什么vb的不权威
而你根本说不出vb权威在哪里，用清理北美病毒的成绩在中国做广告？
nod32不报加工的病毒看来你还觉得满光荣的，我也已经解释了，nod输了，对于我们病毒加工者来说，nod只要扫描没有报，他就已经输了