莫非NOD32也报壳??

显示全部楼层 · 发表于 2007-5-20 18:04:58

上次你在样本区发的一个样本 ..加壳后和加壳前报的不一样..
原文件报Win32/HLLW.Starfil.A 病毒..加壳后报未知PE病毒..

http://bbs.kafan.cn/viewthread.p ... p;extra=&page=1

显示全部楼层 · 发表于 2007-5-20 18:06:45

恨正常

显示全部楼层 · 发表于 2007-5-20 18:34:33

假如NOD脱了壳的话 ,应该报一样的吧.不懂LS

显示全部楼层 · 发表于 2007-5-20 18:43:01

偶纠正偶以前犯的一个错误。。。。。未知的PE病毒就是动态启发。。现在才知道fprot的含义。。。

显示全部楼层 · 发表于 2007-5-20 18:50:46

为EQ2汗一个..

偶看过一篇说NOD32的动态启发是依靠权限判断的 ..
比如增加服务的权限直为1 全局钩子为2 ......加起来超过X就判断为病毒..
FPORT怎么说?

显示全部楼层 · 发表于 2007-5-20 18:52:40

nod32的脱壳有别于传统的脱壳。。。而是利用启发式来脱壳的。。也就是说如果你对一个病毒加UPX的话。。。nod32很可能会报原来已知病毒的变种

显示全部楼层 · 发表于 2007-5-21 10:53:45

“nod32的脱壳有别于传统的脱壳。。。而是利用启发式来脱壳的。。”

我对这句话不解，怎么利用启发式脱壳？是不是你自创的？这个技术我可从来没有听过，你说脱壳时带有启发式还容易理解。

显示全部楼层 · 发表于 2007-6-18 23:56:19

这在NOD32中好像叫做动态虚拟机脱壳技术.

显示全部楼层 · 发表于 2007-6-19 02:57:54

还启发式脱壳，现在nod那点破虚拟机技术越传越神了。。
不过就是个虚拟机脱壳，然后代码扫描罢了，这么简单的原理还在那里传呀传的
nod的虚拟机，随便改一个壳就能让他脱掉1分钟，之后来个found nothing或者其他什么的
启发式脱壳，好nb的名字

显示全部楼层 · 发表于 2007-6-19 02:59:49

就AVIRA那个报壳技术连最基本的ASPACK都脱不了。。真够XX的

[砖头] 莫非NOD32也报壳??