反驳所谓的antivir带壳入库的可笑说法

mofunzone

看见很多人一见到antivir报启发就说杀壳感到很可笑。。
还有就是原来那个好笑的脱壳测试，作者把鸽子加壳加死了如果多引擎扫描还报他就说报壳
不知道这个作者真的理解什么是加壳么，就算你把一个鸽子加800层壳，鸽子还是鸽子，只要有部分代码符合，就可以判断说是病毒，所有了解启发的人都会理解启发的工作原理，代码扫描进行highlight，你再怎么加壳鸽子也不会变成熊猫，所以如果雨伞报herustic.crypted根本就不是报壳
今天就做测试，一共测试15种壳，加壳文件为explorer.exe，每个用win的人电脑都有的
我的系统是xp sp2
如果雨伞真的带壳入库，那么加壳之后应该会报crypted的，但是结果很明显，一个没有
这才说明了antivir启发crypted并不是包壳，只是说有可疑代码，和加壳一点关系也没有
更加说明了雨伞引擎的强大，虽然脱壳不行，但是代码分析目前来说无人能敌，鞭尸并不是错误，既然有可疑代码，反病毒软件有义务报出来
今天太晚了，只做单独加壳测试，明日有时间做复合加壳测试
我相信如果单壳测试都不报的话复合更加不会报的
当然，如果有人有把你自己的 正常文件加壳之后雨伞误报的，欢迎提供上来
至少我目前还没有碰到
所以，所谓的antivir带壳入库根本就不存在
canard break

饭饭

支持下

wangshengxiang

飘过 我顶

绅博周幸

M版啊，这个不是我要打击你啊，你这个只能说明启发和杀壳是两码事，实际上红伞的确是代壳入库的，我上报病毒留意的。一个盗Q黑侠无壳版，红伞不杀，我上报了，说是TR/QQPASS.AM, 然后我就预测用病毒的可能加的壳，把这个东西加了NSPACK, SVKP等一些流行壳，总之不能让红伞报已知，然后再上报红伞，结果红伞认为后来的这个样本是TR/QQPASS.AM.1
，也就是那个AM变种的变形版本，这个的确是代壳入库的，如果脱壳能力很强的杀软如卡巴，我用这两个样本来杀，它就都是报Trojan-PSW.Win32.QQPass.am。 实践出真知，M版做宣传不错，但是我还是以事实为依据吧 ，在红伞的胜利旗帜下前进，支持红伞

绅博周幸

红伞的脱壳能力的确还有待提高，启发能力倒是不错，脱壳和启发是两码字事，红伞的启发完全可以解决大部分问题，过红伞的少部分毒多数也是红伞解不了壳导致无法启发分析代码的缘故而备PASS，希望红伞能够支持更多的壳

wangshengxiang

原帖由 绅博周幸 于 2007-2-24 18:01 发表
M版啊，这个不是我要打击你啊，你这个只能说明启发和杀壳是两码事，实际上红伞的确是代壳入库的，我上报病毒留意的。一个盗Q黑侠无壳版，红伞不杀，我上报了，说是TR/QQPASS.AM, 然后我就预测用病毒的可能加的壳 ...

果然是卡饭红伞FANS

绅博周幸

M版确实是红伞迷们的榜样，帮助大家了解红伞，希望向他学习

绅博周幸

忘记说了，我现在20小时不间断关注各大论坛样本区，找毒网，总之就算在网络上巡逻，搜集红伞不杀的病毒，然后上报

ly250094040

你的签名好像是个人妖？？？

john2218

加回的熊猫加了一个壳病毒的名子也变了.
我在本区发过样本.