研究了一下杀软的脱壳能力

无聊时候的突发奇想,想看看现在的杀毒软件到底有怎样的脱壳能力。于是我决定找一个病毒来加上各种不同的壳,然后拿去扫描。所有研究数据仅有理论价值,我不清楚这些在线扫描的杀软有没有使用内存脱壳、虚拟机脱壳之类的技术,并且这也是在不考虑HIPS等杀软附加功能的情况下做出的结果,所以本文内容仅供参考。

首先,所有测试均是在著名的Online malware scan上做出的测试,在线扫描的效果究竟比零售版的客户端程序有多大差距,我确实不得而知,所以再次重申,以下数据仅供参考。

接着请出我们今天的主角,这是我从霏凡论坛的病毒样本区的一个有些时间的帖子中找来的小家伙。

测试开始之前,让我们先来看看对于这个原始文件的扫描结果吧

大家都十分精神的把病毒给找了出来。只不过此时在其中有几个没有报毒或是报Unknow的杀软。

—————————-

首先使用的加壳程序,是大名鼎鼎的UPX,他非常的常用,可以有效的减少应用程序体积,有时也可以提高一定的效率,连我自己在汉化软件之后都用UPX来加壳。

扫描结果——

毕竟是太常用了呀。不过请注意那些之前没有报毒而现在却报了的杀软,我实在很无语。

—————————-

接着出场的是ASPack,曾经很流行。

扫描结果——

多少比UPX好那么一点点吧,不过总的来说还是没有太大效果。

—————————-

然后是RLPack,除了以上两种软件所提供的加壳之外,开始把文件的保护作为主打了。

扫描结果——

大部分的杀软都挂了,他们或许都已经不知道自己扫描的是个什么东西了,只知道是一个被RLPack保护起来的可疑文件而已。

—————————-

最后是我的王牌ASProtect,几乎是专门用来给文件进行保护的加壳程序。

扫描结果——

如果说之前的大部分杀软还知道那是一个可疑程序的话,那么至此,我们的杀软大军全军覆没。没有一个杀软可以正确的扫描出病毒,仅有的两个报告的杀软也只是对加壳程序起了疑心而已。

结果确实令人失望,不过又在意料之中。在实际使用的时候,这样的情况大概会好很多,毕竟一个好的杀毒软件并不是只有扫描功能而已。至少,请不要太过于依赖你的杀毒软件。

研究了一下杀软的脱壳能力》有9个想法

  1. wettuy 文章作者

    :bright: 实际上ASProtect已经不能算是一个加壳程序了,他可说是业界最有名的加密程序,不过破的人也比较多……嗯,还有很多的壳都没有一一测试,比如PEcompact,大部分杀软对付这些常见壳都还是得心应手的

    Firefox 3.0.4 Firefox 3.0.4 Windows XP Windows XP
    回复
  2. cx5311

    :love: :love: 其实你还是应该用软件来试试 毕竟在线有太多不确定因素
    比如比较常见的 nod32和卡巴2009的虚拟机技术等等 我个人认为 不太科学的测试

    在线查毒 应该算是对账单式的扫描吧 即使有加载某些含有技术含量的引擎 那也毕竟有限

    Internet Explorer 6.0 Internet Explorer 6.0 Windows XP Windows XP
    回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注