12   1  /  2  页   跳转

瑞星增强引擎简单测试[一号原创]

瑞星增强引擎简单测试[一号原创]

听室友说瑞星出增强版了,今天终于有空下一个来测试了.
以前就听有人说瑞星是壳盲哈哈,其实瑞星一直就有脱壳能力
只是和老卡比太逊了.
  花了些时间看完卡卡论坛上的关于测试的话题,感觉真是奇
怪,瑞星这次测试的重点是脱壳它们却没有列出所支持的壳名.
让我们怎么测试效果呀? 还好有人已经dump出来了哈哈..
不说废话了,立马进入正题.测试ing....

初步测试:
  首先把系统目录下的Explorer用我最爱的PECompact2.7压了
一下.
  瑞星扫描结果图1:

  这个图是我暂停了扫描后截的,瑞星脱壳后居然没有在结果信息
里提示 -_! 是否识别,脱壳成功只能依靠看文件数及扫描文件信息
里>>Unpacking... ps:汗...做这样的测试需要非常好的眼神哦..
因为看不出来壳名也不知道瑞星报什么壳了,2.7版好像在网友列的
支持壳名表中没有,但看样子是识别并脱开了.强烈建议瑞星在扫描
的时候显示壳信息,老卡就有!!!

接下来进行病毒加壳测试:
    这里我废了好大的劲才找到的一个病毒,哎真是想要的时候找
不到,不想要的时候有一把一把的.首先为了保证多样性我下了一个
列表里有的aspack2.11把病毒连压了2层!
瑞星扫描结果图2:


2层都脱开了,并报出了壳名..汗...原来只有在报毒时才有壳信息.
ps:我下载的aspack不能确定是2.11还是2.12但应该不是2.0这里瑞
星报成AsPack2.0了,算不算bug?不过能脱开这些也就不太重要了.

我们再进一步进行壳的简单修改测试.
方法:简单的加一段代码到被加壳的病毒上,并原来指向壳代码的oep
指向加入的代码,先执行我们的附加代码后再跳回壳代码.
ps:这是一个很简单的修改但就是这么简单的一个修改就能成功的躲过
不少大牌杀软的追杀.

原壳代码图3:

修改过的壳代码图4:


用瑞星扫描修改过的加壳病毒结果图5:

瑞星居然还能报出来...嘿嘿.看来瑞星还是在壳方面下了点功夫了.
但随后,我把附加的代码进行了更复杂的修改,方法:把壳代码用xor
加密了,解完再跳过去,这次瑞星就不报了.看来复杂一些的修改还是
能躲开的,希望正试版出来的时候能尽量考虑这些些问题必尽现在改
壳的人太多了... :)


最后:
    因为时间的关系测试就到这吧,总的来说瑞星这次应该是加强不少
了脱壳能力,真正的结果应该进行更复杂的测试才能得到,应该对dump
出来的壳名表里的壳进行详细测试..感觉瑞星在公测的目的性方面好像
不是很明确,并且在这次的测试中居然没有监控???要知道监控的性能很
大依赖于脱壳速度的快慢.老卡就是这样卡的....
 
图1:ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼

附件附件:

您所在的用户组无法下载或查看附件

最后编辑2006-08-24 18:26:55
分享到:
gototop
 

图2:

ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

图3:

ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

图4:

ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

图5:

ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼

附件附件:

您所在的用户组无法下载或查看附件

gototop
 

呵呵,支持。ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼
gototop
 

讨厌卡巴卡巴死机ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼
gototop
 

顶顶ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼
gototop
 

引用:
【william9991的贴子】讨厌卡巴卡巴死机
………………


  是你不会用~~
我用卡巴好得不得了!!
就只是因为卡巴不能杀木马~
所以才换瑞星~~~ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼
gototop
 

我最厌恶卡巴,它会让低配置的机子回娘家。ÈY¤p=+ ˜Y[bbs.ikaka.comû?iŠÜ²â„¼
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT