网马

The EQs

另外不知道到底是谁在那里狡辩。。。。

solcroft

原帖由 EQ2 于 2007-3-25 16:20 发表
另外不知道到底是谁在那里狡辩。。。。

用了一个样本的测试，这便是你所谓的证据... 嗯，没错，都是别人在狡辩...
还是不多说了

mofunzone

自己不信就算了吧，反正od都用不利索的人怎么可能明白怎么对文件进行免杀，中国现在像你这种的工具黑客太多了，小白用壳是为了免杀，我们用壳是为了变形，没看出nod不杀的病毒实际上都只有很少的壳吗？而且都是很普通的类似aspack和upx这种的，代码才是关键，实际雨伞的结构分析是一个较新的启发理念，而nod是传统启发，nod的虚拟机实际就是为了脱壳，脱壳后的文件在和病毒库里面的特征进行类比，所以就有variety这种启发，而且nod有一部分代码识别功能，所以就有了unknown PE_virus这种东西的存在
nod的扫描需要消耗大量的cpu，真正两个软件都用过的人可以在全盘扫描发现一个不同之处，nod在扫描的时候cpu会稳定在95以上，而antivir则是不断跳动，一般在50甚至更低，但是偶尔到100，就是因为脱壳
而antivir的启发采用结构分析，假如一个已知文件的结构是1234，但是加壳之后因为结构变量变成了2134，因为核心不会被壳改变，用过od的人都会明白加壳实际就是不断的跳转，跳转等等的，所以这个时候引擎就可以判断文件是有威胁的
简单来说，antivir的引擎是更加有效率的引擎
nod的扫描流程：内存映射病毒库-虚拟机脱壳-引擎代码扫描（真正未知启发）-特征对比（变种）-结果
antivir的扫描流程：映射病毒库-少量脱壳-代码和结构分析（启发）-结果
对此就产生了扫描速度的差异，理论来说，antivir的扫描速度比nod要快，但是因为vb和avc测试是不会测试加壳样本的，所以看起来速度很快的样子，但是如果比叫扫描加壳后文件速度，很大差异，那54个鸽子的测试就是，nod扫描54个文件要6分钟多，而antivir只要20秒
两种引擎的不同分析方式的后果就是一个具有更高的病毒变种查杀率和误报，速度更快，不需要过多脱壳，但是有误报，一个就是很少误报，但是脱壳速度缓慢，如果碰上虚拟机无法脱掉的壳就会失效，类似skvp加壳的文件nod脱掉的几率基本为0，速度慢如牛，因为skvp的壳的变量十分庞大，而且具有很多跳转和代码平移
好了，就说这么多，看不看得懂就是你自己的事情，乐不乐意承认也是你的事情，如果还在无聊的继续坚持你无聊的报壳的说法，我也没什么好说的，还是那句话，多学学od，你会明白很多事情

s67249662

想问一下“映射病毒库-少量脱壳-代码和结构分析“
结构是如何分析的？

chenzheyun

antivir用自己的实力证明了一切,有些人就是看不得别人好.
PS:慢慢自己加壳吧,自娱自乐.兄弟珍重.

mofunzone

原帖由 s67249662 于 2007-3-25 00:31 发表
想问一下“映射病毒库-少量脱壳-代码和结构分析“
结构是如何分析的？

这个就设计到加壳对文件进行的特征码偏移，跳转，代码加密等等很多东西，说真的我也不是很清楚，我只是爱好研究而已，但是这些特征十分明显，其实加壳之后文件大小会有变化就是这个原因，有些壳可以把文件变小，类似北斗，有些壳越加越大，类似skvp，这个是最明显的变化，不过显然通过文件大小来识别病毒是不可能的。。

[ 本帖最后由 mofunzone 于 2007-3-25 00:37 编辑 ]

The EQs

偶是小白。。。你是高手。。。行了吧？？？切。。。

天下无毒

不好意思　我进来学习高人

mofunzone

原帖由 EQ2 于 2007-3-25 00:39 发表
偶是小白。。。你是高手。。。行了吧？？？切。。。

你只是什么都不明白而已，说实在，我和solcroft一早就猜到你那个无聊测试的结果会很搞笑的。。

The EQs

既然你是高手的话。。。麻烦高手自己测试来证明XX的清白。。。。否则偶这个小菜鸟会坏了XX的名誉的。。。麻烦高手去测试吧。。。如果不测试。。。光在这里动动口是不会让菜鸟偶信服的。。。