卡饭的virlist中的病毒有多少是加了壳的。

夏族血腾

原帖由 bugman 于 2009-9-20 20:36 发表
1.我没有下载样本的权限，因此我无法回答你具体的数据，但是，你可以自己判断是否加壳，方法是：用PEiD或者FFI或者其他的查壳工具，根据查的的结果，自行去判断是否加壳。如：一般无壳的结果是：VB,delphi,VC++,
E  ...

没有加壳的病毒木马明显容易干掉。

bugman

原帖由 夏族血腾 于 2009-9-20 20:38 发表


没有加壳的病毒木马明显容易干掉。

是么？不见得。
1.加壳后的程序不见得就比不加壳报的少，因为现在杀壳很厉害，比如asprotect,老王的EPE，TMD等，正常的程序都有很多会报。加壳免杀的时代基本上已经过去了，当然现在很多人都用VMP加壳，或者把关键代码VM掉。
2.不加壳并不见得作者不会做免杀或者加密的处理。
举几个例子：
1）.加密特征字符串：也就是把特征字符串通过加密算法加密起来，逃避杀软的查杀
2）.动态获取导入表：如杀软最敏感的URLDownloadToFile,CreateRemoteThread等，不直接出现在导入表中，而是通过动态用hash加载的方式：
如kernel32.dll里导出的函数的获取：
call GetKernel32   //获取kernel32.dll的基址，通过PEB等其他方法
push eax
push hash
call Decode  //解密算法获得hash对应API的地址
这样，杀软扫描时候，基本上啥都扫不到的，就算人为的用IDA去看，也是看不到的，除非OD,WINDBG动态跟，或者分析出hash算法，写IDC脚本
3.很多流行的木马，很多杀软都是带壳入库的，因此，没必要分是否加壳
4.再说好多杀软也有自身的脱壳引擎
5.就算无脱壳引擎，也不见得加壳后的程序就无特征可提了。最典型的就是MD5或者文件名+路径。
很多人可能都会认为文件名查杀或者MD5查杀是很挫的查杀方式，事实上并不是，很多时候，文件名+路径，或者MD5也都是很效的查杀手段。
比如：
system32目录下有个文件名为fuckyou,exe文件，并且属性为系统隐藏，我想95%以上的人会认为是恶意的吧？除非没事找事的人特意把这么做，这样的另提了。
这时候，若提取的特征是路径+文件名+属性，就很容易查杀，并且非常方便，还无需分是否加壳什么的。
一句话：黑猫白猫，能抓老鼠的就是好猫！

[ 本帖最后由 bugman 于 2009-9-20 21:04 编辑 ]

林吉茄文

12楼的解释很好.

hddgmon

怎么可能不加壳嘛，编译出来后要保护一下啊，至少要压一下嘛。。。。

IllusionWing

加不加壳和测试有什么关系

dongsheng01

进来学习了

zf366

学习了。。。