听室友说瑞星出增强版了,今天终于有空下一个来测试了.
以前就听有人说瑞星是壳盲哈哈,其实瑞星一直就有脱壳能力
只是和老卡比太逊了.
花了些时间看完卡卡论坛上的关于测试的话题,感觉真是奇
怪,瑞星这次测试的重点是脱壳它们却没有列出所支持的壳名.
让我们怎么测试效果呀? 还好有人已经dump出来了哈哈..
不说废话了,立马进入正题.测试ing....
初步测试:
首先把系统目录下的Explorer用我最爱的PECompact2.7压了
一下.
瑞星扫描结果图1:
这个图是我暂停了扫描后截的,瑞星脱壳后居然没有在结果信息
里提示 -_! 是否识别,脱壳成功只能依靠看文件数及扫描文件信息
里>>Unpacking... ps:汗...做这样的测试需要非常好的眼神哦..
因为看不出来壳名也不知道瑞星报什么壳了,2.7版好像在网友列的
支持壳名表中没有,但看样子是识别并脱开了.强烈建议瑞星在扫描
的时候显示壳信息,老卡就有!!!
接下来进行病毒加壳测试:
这里我废了好大的劲才找到的一个病毒,哎真是想要的时候找
不到,不想要的时候有一把一把的.首先为了保证多样性我下了一个
列表里有的aspack2.11把病毒连压了2层!
瑞星扫描结果图2:
2层都脱开了,并报出了壳名..汗...原来只有在报毒时才有壳信息.
ps:我下载的aspack不能确定是2.11还是2.12但应该不是2.0这里瑞
星报成AsPack2.0了,算不算bug?不过能脱开这些也就不太重要了.
我们再进一步进行壳的简单修改测试.
方法:简单的加一段代码到被加壳的病毒上,并原来指向壳代码的oep
指向加入的代码,先执行我们的附加代码后再跳回壳代码.
ps:这是一个很简单的修改但就是这么简单的一个修改就能成功的躲过
不少大牌杀软的追杀.
原壳代码图3:
修改过的壳代码图4:
用瑞星扫描修改过的加壳病毒结果图5:
瑞星居然还能报出来...嘿嘿.看来瑞星还是在壳方面下了点功夫了.
但随后,我把附加的代码进行了更复杂的修改,方法:把壳代码用xor
加密了,解完再跳过去,这次瑞星就不报了.看来复杂一些的修改还是
能躲开的,希望正试版出来的时候能尽量考虑这些些问题必尽现在改
壳的人太多了... :)
最后:
因为时间的关系测试就到这吧,总的来说瑞星这次应该是加强不少
了脱壳能力,真正的结果应该进行更复杂的测试才能得到,应该对dump
出来的壳名表里的壳进行详细测试..感觉瑞星在公测的目的性方面好像
不是很明确,并且在这次的测试中居然没有监控???要知道监控的性能很
大依赖于脱壳速度的快慢.老卡就是这样卡的....
图1:
Ù!©D¥.Òübbs.ikaka.com O¨ó@S