本文送给所有喜欢安全的朋友们，这篇文章是我花了半天时间的测试结果，大家看看就好了。
千万别用在加壳过杀软的用途上面哦。

感谢proll, syst的帮助，修改了几处错误。

PS：PANDA的在线引擎可能和单机版本的不一样。可能最新版本的熊猫针对壳来报毒的情况已经得到改善。需要用户运行后才进行报毒，有点HIPS软件的影子在里面。
后面我会把样本给作为附件贴出来。装了熊猫的朋友可以自己测试下，希望能够把问题搞清楚，目的不在于比出个谁高谁低，已经没有多大的意思。有用国内三大的朋友欢迎测试跟贴。


一个无害的程序.没有经过任何加壳.现在我们看看有几个软件会报毒:







很好,没有一个软件报毒,要是有软件报毒的话,那也实在是说不过去了.


现在我们给它加上一层北斗3.7的壳.看看情况是不是发生了变化:







CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.20.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Trojan-PSW.Win32.Nilage.aep
Sophos4.11.011.16.2006Mal/Packer
我们可以看出,上面的六款软件报告了病毒,其中三个报了怀疑,一个报成了PCCLIENT,一个报成了NILAGE.一个报成了MAL.
测试压壳后可以运行。



现在再加一层北斗壳,大家看看情况是不是又发生了变化:






可以看出,在加了两层壳之后,F-Prot4加入了这个报毒的行列
F-Prot44.2.1.2911.20.2006generic
剩下的还是前面已经报过毒的依旧报毒了.
经测试压壳后可以运行


再加一层北斗壳,成了3层北斗壳,大家再来看看情况有变化没有:







情况没有变化,好像我们的测试到这里就可以结束了.
加壳后的程序可以运行.
PS:后面我还用NSPACK压了一次做测试,依旧没有发生变化,那么我们关于多层北斗压缩的测试就到这里结束.


现在我们用原未加壳的程序看看加一层仙剑的壳,又会有什么变化:







AntiVir7.2.0.3911.20.2006HEUR/Crypted
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006Suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
可以看到,加了一层仙剑壳后,只有4款杀软报了可疑.
程序经过一层加壳后可以正常运行.


再加一层仙剑壳,却发现已经不能运行.真是气人.算了,也测试下有没有软件报这个程序尸体:







哈,看见没,应该是不报的一个程序尸体,不但上面的4个软件报了可疑,连F-Prot4也报了可疑,
F-Prot44.2.1.2911.20.2006generic
单一的仙剑壳测试就到这里结束了,再继续下去也没有什么意思.


接这是JDPACK的加壳测试,先加一层看看情况再说:







令人惊奇,又有三个软件报了.它们分别报的情况如下:
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
Kaspersky4.0.2.2411.21.2006Packed.Win32.Klone
软件压缩后可以运行.
由于JD的压缩之能压缩一次,所以就不能做多层压缩测试了.我们换个壳再看看.


0bug0.1壳加密,很可惜加壳后的程序是没有办法运行的,但是我们还是可以看看多少软件报了这个程序尸体:







一共是4个软件报了:
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
McAfee490011.20.2006New Malware.g
Panda9.0.0.411.20.2006Suspicious file


eXPressor的壳:
先加一层的测试(快速压缩),程序压缩后可以运行:







三个软件报可疑,两个软件报成了FLUX后门.
AntiVir7.2.0.3911.20.2006HEUR/Crypted
eSafe7.0.14.011.20.2006Suspicious Trojan/Worm
Ewido4.011.20.2006Logger.Flux.a
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.21.2006Backdoor.Win32.Flux.B


假如是高比例压缩,会和快速压缩一样的情况吗?(软件压缩后可运行







变成只有4个软件报了:
AntiVir7.2.0.3911.20.2006HEUR/Crypted
eSafe7.0.14.011.20.2006SuspiciousR-Mytob6
Ewido4.011.20.2006Downloader.Banload.ase
Fortinet2.82.0.011.21.2006suspicious
真是太惊讶了,EWIDO前后报的不样.


免杀木马加壳器生成的程序尸体,看看情况吧:







分别有5个软件报了,这也难怪,国内不少人就是拿着个这个自己的后门加壳,算他们倒霉
只是也害得别人的无害程序也跟着倒了霉了.
AntiVir7.2.0.3911.21.2006TR/Crypt.Np.Gen
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
Kaspersky4.0.2.2411.21.2006Type_Win32
Panda9.0.0.411.20.2006Suspicious file


木马帝国木马免杀器加的壳又会如何呢,我们来试试就知道了:加壳后运行程序正常后,送去扫描:








有又4个软件报了:
AntiVir7.2.0.3911.21.2006HEUR/Crypted
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
Kaspersky4.0.2.2411.21.2006Trojan.Win32.Crypt.v


单一的测试结束了,现在我们来测试混合的,嘿嘿,希望大家不要看睡着了,是比较无聊.


1.  木马帝国木马免杀器+北斗(可以运行):







6个软件报毒,奇怪的是KAV报的毒再了层北斗壳后改变了.
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.21.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Trojan-PSW.Win32.Nilage.aep
Sophos4.11.011.16.2006Mal/Packer


2.  木马帝国木马免杀器+2层北斗(可以运行):







和上面只加两层北斗壳出现了一样的情况,那么我们也没有必要再测试下去了.

3.  JDPACK+北斗(可以运行)




8个软件报了,看来混合的加壳比单一的加壳更加容易引发误报现象:
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
F-Prot44.2.1.2911.20.2006generic
Ikarus0.2.65.011.21.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Packed.Win32.Klone
Panda9.0.0.411.20.2006Suspicious file
Sophos4.11.011.16.2006Mal/Packer


4.  JDPACK+2层北斗(可以运行)：




让我惊奇的是,上面报的8个软件这次还是会报毒(废话?)
但是我们发现Dr.web也假如了报毒的行列之中.让我有点奇怪.
DrWeb4.3311.21.2006Win32.Besso

5.  JDPACK+3层北斗(可以运行):情况和JDPACK+2层北斗时候的一样.
6.  JDPACK+3层北斗+EXPRESSOR(可以运行)情况又有变化了:



 



从上面的测试结果可以看出，报壳王非CAT-QuickHeal莫属了。几乎加了壳的它都会报，让人寒一个，
antivir/panda/sophos/kaspersky也有不少针对壳来报毒的习惯。
其中大部分都是以启发式的方式来报出的，实在让人怀疑它们所谓的启发式到底说穿了是不是仅仅是针对壳来报病毒的。

上面的几个加壳软件都是国内常见的用于加密木马和后门的壳类。
这篇文章仅供大家做个参考。没什么实实在在的技术含量在里面，但是把报壳来作为所谓的启发式杀毒，我想这个就有点说不过去了。

==================================================


岁月联盟专用木马加壳器加一层壳的测试结果(程序加壳后可以运行):




除去超级报壳王CAT/SOPHOS不说
CAT-QuickHeal8.0011.21.2006(Suspicious) – DNAScan
Sophos4.11.011.16.2006Mal/Packer
报壳第二梯队的表现也是十分的不俗
让我们看看ANTIVIR/AVAST分别报了什么吧:
AntiVir7.2.0.4411.22.2006BDS/Hupigon.DP
Avast4.7.892.011.20.2006Win32:Hupigon-RW
两个软件直接把加过这个壳的EXE文件给当成灰鸽子杀掉了.并没有报壳
可能是国内太多人用这个加壳工具给灰鸽子加壳了吧,导致反病毒厂商直接壳特征码了事.


岁月联盟专用木马加壳器加两层壳的测试结果(程序加壳后变成程序尸体):




狂寒一个,居然发生了让我也想不通的情况.这个程序尸体,
ANTIVIR继续报鸽子.AVAST居然不报了.
熊猫居然又凑热闹报了个怀疑.真是乱了.


接着来个混合的壳, 岁月联盟专用木马加壳器+北斗壳,结果成程序尸体了,不管.验证下:




AVAST居然又来了.这次ANTIVIR没报
Avast4.7.892.011.20.2006Win32:Hupigon-RW
剩下的就不多说什么了:
CAT-QuickHeal8.0011.21.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.22.2006suspicious
Ikarus0.2.65.011.22.2006Backdoor.Win32.PcClient.GV
Panda9.0.0.411.21.2006Suspicious file
Sophos4.11.011.16.2006Mal/Packer


FSG 2的测试足以让人彻底的无语(程序压缩后可以运行):




只有报壳王CAT/SOPHOS继续发飙..让我已经没有办法再多说什么了.


FSG+岁月(尸体程序):




证实了我的想法:PE-ARMOR的壳加上去后,ANTIVIR是一定会把它们给报成灰鸽子的.
剩下的大家看图就明白了5个软件都报了.针对壳来报.


SVKP的壳加了一层以后文件体积会变大好几倍,但是却是可以运行的,看看情况吧:




有5个软件报了:
CAT-QuickHeal8.0011.21.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006Win32.Polipos.sus
Fortinet2.82.0.011.22.2006suspicious
Ikarus0.2.65.011.22.2006Win32.IRC.BOT.Based
UNA1.8311.21.2006Win32.CRYPT.virus
看来报壳的问题还真是严重,又有几个原来没有发现有报壳的厂商被发现了,比如UNA.


SVKP+北斗,结果成了具程序尸体,情况却越来越有意思了:




看见没,突然间觉得只要是两个混合壳加密,ANTIVIR肯定能给你来一下:HEUR/CRYPTED.
熊猫对混合壳的敏感度也很强,统统来个未知启发.


先到这里..

(Vader)


如需测试样本可以留言给我。
这里不能传RAR的文件。