ESS高级扫描选项中—加壳程序—开启与关闭有何差别？

甲方代表

ESS—高级设置—高级扫描选项中—加壳程序与高级启发式扫描—开启与关闭有何差别


关闭会影响防护吗？？

strawman0719

加壳：其实是利用特殊的算法，对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果，只不过这个压缩之后的文件，可以独立运行，解压过程完全隐蔽，都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权交还给原始程序，执行原来的代码部分。加上外壳后，原始程序代码在磁盘文件中一般是以加密后的形式存在的，只在执行时在内存中还原，这样就可以比较有效地防止破解者对程序文件的非法修改，同时也可以防止程序被静态反编译。

对加壳文件的扫描、监控、反编译、启发式扫描都会耗费更多的系统资源和时间

所以监控中个人不建议开启，但是扫描里可以开启对加壳程序的扫描

zouzhijiang

2楼强悍

itcql

稻草人的解释很不错啊。不愧是帮帮团的啊

帅就是帅

虚拟化过程也是脱壳概念的延伸使得样本自解壳判断，再加之启发过程的反编译检测样本运行的最初指令，已经有相当不错的效果，因而对这个加壳和高级启发不大感冒。开启后会占用一定的资源（但并不大），查杀能提上去，相应误报也会增加，看你电脑使用环境的取舍。一般而言默认设置足够，VB100的测试均是在默认设置下通过。
PS：高启姑且不谈，不知这个加壳只是简单的硬脱壳还是基于dump内存中镜像重构标准程序这种方式的动态脱壳，个人认为，习惯良好开启也无妨。本人使用中是开启的。

strawman0719

zouzhijiang 发表于 2010.10.11 14:10
路过

这是无意义回复  会扣分的  赶紧改了吧

strawman0719

itcql 发表于 2010.10.11 14:13
稻草人的解释很不错啊。不愧是帮帮团的啊

过奖了

itcql

strawman0719 发表于 2010.10.11 14:31
过奖了

实话实说，实话实说呵呵

吾与谁归

eset区能人辈出，有BBT成员在，嘎嘎滴

轻巧夺命

回复 2楼 strawman0719 的帖子

受教育了，感谢。