antivir首席技术指导Stefan Schiffert对脱壳的看法

mofunzone

不只是nsanti，任何壳你自己手动改了之后nod基本都报不出来，nspack antivir实际也不是报壳，引擎脱壳不完整，没法识别出具体内容的原因，造成连灰鸽子加了nspack都会变成heur/crypted，希望8可以改进这个问题吧。。

allenhippo

Win32.Pacex.Gen不一定是报壳吧，还没有定论不宜望文生义。

david_sg

原帖由 solcroft 于 2007-5-17 07:36 发表
顺便跑题问一下：要学用OllyDebug，网上有没有什么好的入门教程？
除了去年上了些C++编辑语言课程，教授们都觉得没必要再来教我们这一批工程师什么更高深的电脑学问了，现在想自己研究一下machine code debugg ...

这里有个简单的入门教程


凑合看吧，网上的OllyDebug手册都不详细，还是建议买书。网上有个看雪软件安全论坛，里面都是关于壳和Reverse engineering的东西，还有点有价值的东西，有兴趣的话可以去看看。

这里有个OllyMachine
的manual，它是个类汇编的脚本引擎插件用于控制 OllyDbg 的，思路还可以，有时间的话也可以看看。[:26:]

[ 本帖最后由 david_sg 于 2007-5-17 08:41 编辑 ]

solcroft

原帖由 david_sg 于 2007-5-17 10:09 发表


这里有个简单的入门教程
71317
71318
凑合看吧，网上的OllyDebug手册都不详细，还是建议买书。网上有个看雪软件安全论坛，里面都是关于壳和Reverse engineering的东西，还有点有价值的东西，有兴趣的话可 ...

先去上课，回来后慢慢学习

yzt1004

NOD32启发拖系统比较烦人
NOD32侦测率低都不是问题，好歹它用内存CPU都不严重，当个辅助扫描器都可以。关键就是这个拖死系统的问题
没有病毒库，光是不停地启发有什么用

david_sg

原帖由 mofunzone 于 2007-5-17 08:00 发表
od的入门教程很多吧，google一下就可以，但是高深的基本都要收费的了，或者自己买书学，说真的，网上那群无聊的天天拿着工具免杀的“黑客”，根本就没什么水平，没几个会脱壳的，我也脱不好，nb的黑客还是美国的 ...

要看是什么语言写的壳,用delphi写的壳oep相对最好找,有些C++写得壳非常难脱,oep的位置得慢慢跟。手动脱壳太费神了，有段时间我神经了都，看到什么文件都想用FI。

7even

非常支持红伞

wellkobe

学习了

kidaaaa

报壳不是错，不过大量的误报就不可原谅了，希望红伞进一步改进。

Giggs

宁可错杀一千.不要放过一个.
杀壳总比什么都杀不到要强吧?