目前来说，ESS的实力不比2。7好太多

The EQs

唉。。。。一个出尔反尔的人。。。对你实在无语了。。幸亏还有当时你说的话的记录。。。也不想多说什么了。。。。

mofunzone

原帖由 EQ2 于 2007-4-7 00:21 发表
唉。。。。一个出尔反尔的人。。。对你实在无语了。。幸亏还有当时你说的话的记录。。。也不想多说什么了。。。。

那出来看看吧
我保证我从来没说过雨伞那叫报壳
只有pck的时候才是，不过大部分出pck的时候那都不是什么好东西

曲中求

还是那句话，如果天天有人做红伞免杀也是一样的。。。。

The EQs

mofunzone (genius) 卡饭_见习写手 VB100%=vain bullshit 100%     UID 37732 精华 0 积分 2567 帖子 2131 积分 0 阅读权限 30 注册 2006-9-21 来自 canada 状态 离线

#22 发表于 2007-3-11 01:53  资料 短消息   你有兴趣自己搜索一下一个叫做成也加壳，败也加壳的帖子，在google上 你就可以明显的看出，对于加壳antivir唯一的启发就是heur/crypted，没有一个是基因启发的 所以我可以100%保证这只是一个名字而已，和报壳一点关系也没有

The EQs

真是无语了。。。。。说话前後矛盾。。。算了。。不想继续说下去了。。。。

mofunzone

原帖由 EQ2 于 2007-4-7 00:24 发表
真是无语了。。。。。说话前後矛盾。。。算了。。不想继续说下去了。。。。

那是我最早发的帖子罢了
但是后来我发现，cryted并不是简单的报壳
出现crpyted80%的几率是一种壳的行为
而这种壳的行为就是，对你加密的文件加壳，运行之后是先生成加密前文件然后通过指令去运行的
而不同于其他的类似upx、aspack、nspack这种的加壳之后壳文件和exe文件是一体的
所以开始我的结论是完全错误的，那根本就不是简单的报壳，引擎查到的特殊结构罢了，heur/crypted官方有详细的介绍，你可以自己去看

[ 本帖最后由 mofunzone 于 2007-4-7 00:31 编辑 ]

mofunzone

原帖由 曲中求 于 2007-4-7 00:23 发表
还是那句话，如果天天有人做红伞免杀也是一样的。。。。

可惜的是雨伞的免杀不是这么好做的。。
貌似从来也没有人说做nod的免杀，不过nod已经挂的一片一片的了
我说过，过kav的免杀有50%的几率可以过nod
kav免杀的数量有多少大家都清楚。。

mofunzone

简单来说，crypted外壳都有通用行为
就是运行文件后会往硬盘temp文件写入加壳前文件
然后通过指令来执行temp中没加壳的文件来运行病毒的
而普通的upx和naspack的脱壳不会写入temp，内存脱壳完了直接在内存加载，不会在硬盘写东西
这种壳的优点就是没有软件能用虚拟机或者内存来成功脱壳
冰枫就是代表。。

曲中求

原帖由 mofunzone 于 2007-4-7 16:30 发表

可惜的是雨伞的免杀不是这么好做的。。
貌似从来也没有人说做nod的免杀，不过nod已经挂的一片一片的了
我说过，过kav的免杀有50%的几率可以过nod
kav免杀的数量有多少大家都清楚。。

我只能说，你没有仔细看帖子。

坐在墙头

Who defined that detection by dynamic code analysis is the only allowed way to detect malicious files? Of course it is an advanced and reliable method, but it has it's limitations aswell. And why bother with unpacking several layers of packers/cryptor (which can be VERY time consuming) when those packers are used 99% by malware authors only and for cracks or keygens otherwise?
上面据说是红伞工程师说的，如果是真的话，我想你一定会非常尴尬