[TEST]测试一下加壳前后的东西对比一下。。

显示全部楼层 · 发表于 2007-3-11 15:58:51

这个是周X发的。。。nod32和卡巴都不报的。。。加壳前是这样的

AntiVir	7.3.1.41	03.10.2007	TR/Startpage.CY
Authentium	4.93.8	03.09.2007 [td]no virus found
Avast	4.7.936.0	03.09.2007 [td]no virus found
AVG	7.5.0.447	03.10.2007	Startpage.AWY
BitDefender	7.2	03.11.2007	Trojan.Downloader.AUM
CAT-QuickHeal	9.00	03.10.2007 [td]no virus found
ClamAV	devel-20060426	03.11.2007 [td]no virus found
DrWeb	4.33	03.10.2007	Trojan.DownLoader.11322
eSafe	7.0.14.0	03.08.2007	Win32.PWS.QQPass
eTrust-Vet	30.6.3469	03.10.2007 [td]no virus found
Ewido	4.0	03.10.2007	Downloader.Small.com
FileAdvisor	1	03.11.2007 [td]no virus found
Fortinet	2.85.0.0	03.11.2007	StartPage.JF!tr
F-Prot	4.3.1.45	03.09.2007	W32/StartpageX.WH
F-Secure	6.70.13030.0	03.09.2007	W32/DLoader.YKP
Ikarus	T3.1.1.3	03.11.2007	Trojan.Win32.StartPage.AAK
Kaspersky	4.0.2.24	03.11.2007 [td]no virus found
McAfee	4981	03.09.2007	StartPage-JF
Microsoft	1.2306	03.11.2007 [td]no virus found
NOD32v2	2106	03.10.2007 [td]no virus found
Norman	5.80.02	03.10.2007	W32/DLoader.YKP
Panda	9.0.0.4	03.10.2007	Trj/QQPass.QV
Prevx1	V2	03.11.2007 [td]no virus found
Sophos	4.15.0	03.10.2007 [td]no virus found
Sunbelt	2.2.907.0	03.10.2007 [td]no virus found
Symantec	10	03.11.2007	Trojan.PWS.QQPass
TheHacker	6.1.6.073	03.09.2007 [td]no virus found
UNA	1.83	03.09.2007 [td]no virus found
VBA32	3.11.2	03.10.2007	Trojan.DownLoader.11322
VirusBuster	4.3.19:9	03.10.2007 [td]no virus found

Aditional Information

File size: 25088 bytes

MD5: cdec7639a4051fd15dcd31c65e55cc9f

SHA1: 2008730bfe9d02c38752c19ac241267a1336432c

[ 本帖最后由 EQ2 于 2007-3-11 16:04 编辑 ]

显示全部楼层 · 发表于 2007-3-11 16:06:43

你的免杀好像没有什么效果，红伞追杀到底了啊

显示全部楼层 · 发表于 2007-3-11 16:07:30

不是免杀。。。只是想看看偶的分析到底对不对。。。。

显示全部楼层 · 发表于 2007-3-11 16:10:42

AntiVir	7.3.1.41	03.10.2007	HEUR/Malware
Authentium	4.93.8	03.09.2007	Possibly a new variant of W32/Threat-HLLIN-Slipper-based!Maximus
Avast	4.7.936.0	03.09.2007 [td]no virus found
AVG	7.5.0.447	03.10.2007 [td]no virus found
BitDefender	7.2	03.11.2007	Trojan.Downloader.AUM
CAT-QuickHeal	9.00	03.10.2007 [td]no virus found
ClamAV	devel-20060426	03.11.2007 [td]no virus found
DrWeb	4.33	03.10.2007	Trojan.DownLoader.11322
eSafe	7.0.14.0	03.08.2007	suspicious Trojan/Worm
eTrust-Vet	30.6.3469	03.10.2007 [td]no virus found
Ewido	4.0	03.10.2007	Downloader.Small.com
FileAdvisor	1	03.11.2007 [td]no virus found
Fortinet	2.85.0.0	03.11.2007	suspicious
F-Prot	4.3.1.45	03.09.2007	W32/Threat-HLLIN-Slipper-based!Maximus
F-Secure	6.70.13030.0	03.09.2007 [td]no virus found
Ikarus	T3.1.1.3	03.11.2007	Backdoor.Win32.Hupigon.BV
Kaspersky	4.0.2.24	03.11.2007 [td]no virus found
McAfee	4981	03.09.2007 [td]no virus found
Microsoft	1.2306	03.11.2007 [td]no virus found
NOD32v2	2106	03.10.2007 [td]no virus found
Norman	5.80.02	03.10.2007 [td]no virus found
Panda	9.0.0.4	03.10.2007	Suspicious file
Prevx1	V2	03.11.2007 [td]no virus found
Sophos	4.15.0	03.10.2007	Mal/Packer
Sunbelt	2.2.907.0	03.10.2007 [td]no virus found
Symantec	10	03.11.2007 [td]no virus found
TheHacker	6.1.6.073	03.09.2007 [td]no virus found
UNA	1.83	03.09.2007 [td]no virus found
VBA32	3.11.2	03.10.2007	suspected of Trojan.StartPage.4
VirusBuster	4.3.19:9	03.10.2007	Packed/NSPack

Aditional Information

File size: 16384 bytes

MD5: 8f889b311b3c0ad949f519bd32a39af7

SHA1: ac56cd665f755d4876e90c5b5ac0a54680ae7120

packers: NSPACK

显示全部楼层 · 发表于 2007-3-11 16:17:54

结果和预期的一样

AntiVir	7.3.1.41	03.10.2007	TR/Crypt.NSPM.Gen
Authentium	4.93.8	03.09.2007	Possibly a new variant of W32/Threat-HLLAN-based!Maximus
Avast	4.7.936.0	03.09.2007 [td]no virus found
AVG	7.5.0.447	03.10.2007 [td]no virus found
BitDefender	7.2	03.11.2007	Trojan.Downloader.AUM
CAT-QuickHeal	9.00	03.10.2007 [td]no virus found
ClamAV	devel-20060426	03.11.2007 [td]no virus found
DrWeb	4.33	03.10.2007	Trojan.DownLoader.11322
eSafe	7.0.14.0	03.08.2007	suspicious Trojan/Worm
eTrust-Vet	30.6.3469	03.10.2007 [td]no virus found
Ewido	4.0	03.10.2007	Downloader.Small.com
FileAdvisor	1	03.11.2007 [td]no virus found
Fortinet	2.85.0.0	03.11.2007 [td]no virus found
F-Prot	4.3.1.45	03.09.2007	W32/Threat-HLLAN-based!Maximus
F-Secure	6.70.13030.0	03.09.2007 [td]no virus found
Ikarus	T3.1.1.3	03.11.2007	Backdoor.Win32.Hupigon.BV
Kaspersky	4.0.2.24	03.11.2007 [td]no virus found
McAfee	4981	03.09.2007 [td]no virus found
Microsoft	1.2306	03.11.2007 [td]no virus found
NOD32v2	2106	03.10.2007 [td]no virus found
Norman	5.80.02	03.10.2007 [td]no virus found
Panda	9.0.0.4	03.10.2007	Suspicious file
Prevx1	V2	03.11.2007 [td]no virus found
Sophos	4.15.0	03.10.2007	Mal/Packer
Sunbelt	2.2.907.0	03.10.2007 [td]no virus found
Symantec	10	03.11.2007 [td]no virus found
TheHacker	6.1.6.073	03.09.2007 [td]no virus found
UNA	1.83	03.09.2007 [td]no virus found
VBA32	3.11.2	03.10.2007	suspected of Trojan.StartPage.4
VirusBuster	4.3.19:9	03.10.2007	Packed/NSPack

Aditional Information

File size: 24064 bytes

MD5: 62099c31795b2661ed8897ffd46aec21

SHA1: f43eead7b3029826462169f22e42c0c8f17e7ff5

packers: ASPACK, ASPACK, NSPACK

显示全部楼层 · 发表于 2007-3-11 16:23:19

AntiVir	7.3.1.41	03.10.2007	HEUR/Malware
Authentium	4.93.8	03.09.2007	Possibly a new variant of W32/PWStealer.gen1
Avast	4.7.936.0	03.09.2007 [td]no virus found
AVG	7.5.0.447	03.10.2007 [td]no virus found
BitDefender	7.2	03.11.2007	Trojan.Downloader.AUM
CAT-QuickHeal	9.00	03.10.2007 [td]no virus found
ClamAV	devel-20060426	03.11.2007 [td]no virus found
DrWeb	4.33	03.10.2007	Trojan.DownLoader.11322
eSafe	7.0.14.0	03.08.2007	suspicious Trojan/Worm
eTrust-Vet	30.6.3469	03.10.2007 [td]no virus found
Ewido	4.0	03.10.2007	Downloader.Small.com
FileAdvisor	1	03.11.2007 [td]no virus found
Fortinet	2.85.0.0	03.11.2007	suspicious
F-Prot	4.3.1.45	03.09.2007	W32/PWStealer.gen1
F-Secure	6.70.13030.0	03.09.2007 [td]no virus found
Ikarus	T3.1.1.3	03.11.2007	Backdoor.Win32.Hupigon.BV
Kaspersky	4.0.2.24	03.11.2007 [td]no virus found
McAfee	4981	03.09.2007 [td]no virus found
Microsoft	1.2306	03.11.2007 [td]no virus found
NOD32v2	2106	03.10.2007 [td]no virus found
Norman	5.80.02	03.10.2007 [td]no virus found
Panda	9.0.0.4	03.10.2007	Suspicious file
Prevx1	V2	03.11.2007 [td]no virus found
Sophos	4.15.0	03.10.2007	Mal/Packer
Sunbelt	2.2.907.0	03.10.2007 [td]no virus found
Symantec	10	03.11.2007	Bloodhound.Overpacked
TheHacker	6.1.6.073	03.09.2007 [td]no virus found
UNA	1.83	03.09.2007 [td]no virus found
VBA32	3.11.2	03.10.2007 [td]no virus found
VirusBuster	4.3.19:9	03.10.2007	Packed/NSPack

Aditional Information

File size: 24576 bytes

MD5: 1296d7cb951762ce5ee6bef02691d417

SHA1: 9a6246c44c26b00ac753fb9ad056f130970e4ee7

packers: NSPACK, ASPACK, ASPACK, NSPACK

显示全部楼层 · 发表于 2007-3-11 16:24:00

你应该用exe加壳下次，因为这样无法检测文件可不可以执行，如果可以执行，那么加的结果说明的没错，因为分区表（为什么两次nod就被过）被北斗改了外加aspack的两次加壳使得代码变化，antivir变成了基因启发，因为已经完全不是一个病毒了，所有特征都被修改，而且这并不能证明报壳，我已经说过了，因为始终可以扫描到可疑代码，请看dr.web的引擎，就算你最后的文件无法执行也无可厚非，只能说antivir脱壳没蜘蛛强，反倒是nod开始不报了。。
唯一可以证明报外壳的只有用正常文件加壳之后被报病毒的，因为你用病毒文件加壳他始终还是病毒（具有病毒特性和功能），但是用正常文件加壳他却还是正常文件，这些是无法改变的
你的测试不成立，什么也不能证明，只能证明雨伞的基因启发十分有效果而已。。

[ 本帖最后由 mofunzone 于 2007-3-11 00:25 编辑 ]

显示全部楼层 · 发表于 2007-3-11 16:36:03

这个可以说明报HEUR/Malware有的是直接加壳的。。。

显示全部楼层 · 发表于 2007-3-11 16:45:58

你错了，你的样本是病毒，那么报启发不奇怪，就算你加壳加死了也不奇怪，可能还是能分析出部分代码，antivir的启发不是nod的虚拟机，而是代码分析，方法不同当然结果也不同了
这也是为什么我说你要测试就要用非病毒的文件测试，因为不是病毒的文件不管你怎么加壳他还不是病毒，但是如果非病毒的文件被报病毒了才是杀壳
壳只是干扰码，如果一个文件是病毒，不管怎么加干扰码，他还是病毒，但是如果不是病毒的文件价加壳查处病毒才是说明报的干扰码，也就是所谓的壳
这么简单的道理你还是不明白？？

显示全部楼层 · 发表于 2007-3-11 16:52:08

OK。。。。偶拿两个正常的exe文件加壳。。。。。

[病毒样本] [TEST]测试一下加壳前后的东西对比一下。。

本帖子中包含更多资源

回复 #2 绅博周幸的帖子

加上一层北斗之后。。。

本帖子中包含更多资源

继续加两次ASPACK后的情况

本帖子中包含更多资源

继续加一次北斗后的情况

本帖子中包含更多资源

回复 #7 mofunzone 的帖子

浏览过的版块

[病毒样本] [TEST]测试一下加壳前后的东西对比一下。。

本帖子中包含更多资源

回复 #2 绅博周幸 的帖子

加上一层北斗之后。。。

本帖子中包含更多资源

继续加两次ASPACK后的情况

本帖子中包含更多资源

继续加一次北斗后的情况

本帖子中包含更多资源

回复 #7 mofunzone 的帖子

浏览过的版块

回复 #2 绅博周幸的帖子