大家来看看“免杀爱好者对于杀软的评价”---引自杀不死的秘密

暗羽天剑

我经验啊。。

aiyooo

楼主被黑了

comicwm

微软启发很牛逼？
也不多介绍点

guo_xinli

f-prot 从没见过。哪儿的？

helokii8

回复 2楼 忘记的泪  的帖子


    二、常见杀毒软件及其引擎特点1、卡巴斯基        俄罗斯出品、扫描未知病毒非常厉害、病毒库很大、扫描速度特别慢、非常占用资源。2、瑞星        国产、杀毒能力和卡巴斯基差距很大，主动防御功能模块和卡巴斯基也没办法比、优势就是速度快、系统占用资源相对较少。3、江民        杀毒能力不错，耗费资源一般，主动防御功能也很不错。4、诺顿        这个杀软是诺顿公司的，性能卓越。病毒库很大，扫描速度慢。不同版本的诺顿占用系统资源的程度相差很大。这个杀软的免杀非常好做。是著名杀毒软件中实力最弱的。5、金山        杀毒能力很差，占用资源一般，速度快。6、NOD32        这个的查杀机制和其他几个差别很大，针对它的免杀比较难做。如今新版的NOD32加入了主动防御功能，功能上的提升使它成为目前最能对付的杀毒软件。系统占用资源一般，扫描速度非常快。启动扫描特别厉害，查杀未知病毒的性能和卡巴斯基旗鼓相当。7、麦咖啡        国外杀毒软件，功能一般，查杀能力一般，占用系统资源一般。高级版对未知病毒的查杀能力很强。8、小红伞        启发式扫描很厉害，可以说和NOD32的启发扫描不分伯仲，各有各的特点。9、F-Prot Antivirus：这是一款来自冰岛的杀毒软件。该杀毒软件的查杀能力绝对一流，对未知病毒的查杀能力远在卡巴和NOD32之上。10、微软杀毒        依仗着微软在操作系统的占有率，其杀毒软件也有一定的占有率。几乎所有的木马都不能过微软的杀毒软件。对微软杀毒研究相对深入之后，不难发现，目前的微软杀毒引擎和NOD32的杀毒引擎很像，基本都是使用启发式扫描对API函数的调用进行判定和加权。      

暗羽天剑 发表于 2010.7.15 22:32

纯表不扣分吗

KenMag

呵呵 本人ESET的用户 支持下

helokii8

回复 17楼 KenMag  的帖子


    看过全文后你就会发现 这个文章的后半部分就是针对NOD32和卡巴写的！！死的很惨

helokii8

回复 17楼 KenMag  的帖子


    看过全文后你就会发现 这个文章的后半部分就是针对NOD32和卡巴写的！！死的很惨

给你截取一点

详细讲解定位NOD32特征码

很多人问我，他们都不知道NOD32怎么定位木马特征码。更不用说修改了。NOD32定位和其他国内主流的
杀软有些不同之处。
我就随便拿个大白鲨的DAT来用NOD32定位吧。大家先看看查杀情况，肯定是被杀的。
我的病毒库是最新的。
看，被杀了吧。。好，我们现在来定位下它的特征码。大家看演示吧。

用到的工具: myccl
打开myccl
先把DAT文件导入，目录我们随便选个，一般不要用默认的这个OUTPUT（输出）
这个默认的目录，用默认的目录有时候会出现死循环。。分块数量我们填10块，
填充后面填90，开始位置就选择 400 ，分段长度填 18200，就是下面物理长度后面几个字节。
然后我们选择 反向 定位。生成后我们用NOD32扫描就OK,大家不要选择NOD32高级选项里面的
清除病毒，因为我们要根据病毒类别进行手动删除。然后我们根据被杀文件提示进行相应的删除
如果是同种病毒，我们可以删除全部被杀文件。特征码消失了。没关系，我们可以在后面找出。
我们不用管它，继续复合定位。现在我们用C32看看我们定位出来的特征码是否正确。
我们用00填充。我们为保险起见，填充三个长度单位看看。现在我们再来查下毒。看，没毒了。
说明我们定位正确。我们再来看看有没有被隐藏了的未知病毒特征码。我们先填充一个特征码。
然后一个不要填充。第一个特征码不要填充。然后保存。第一个过了。我们换第二个看看。
换第二个不要修改。然后保存，查毒。看，这个被杀了。然后我们继续用这个定位。
就是用其中一个没修改被杀的DAT文件继续定位。大家看。这次定位出来的特征码还是刚才我们没
修改的那个，如果定位出来其他的特征码，就是未知病毒被查杀时隐藏了的特征码。
用这样的方法可以确保我们用NOD32定位出来的特征码准确，好了。方法就是这样了。

KenMag

回复 19楼 helokii8  的帖子


    这个···深奥