轉自大陸霏凡論壇的Vader
成也加殼,敗也加殼(11月22日更新,並提供測試樣本)
本文送給所有喜歡安全的朋友們,這篇文章是我花了半天時間的測試結果,大家看看就好了。
千萬別用在加殼過殺軟的用途上面哦。
感謝proll, syst的幫助,修改了幾處錯誤。
PS:PANDA的在線引擎可能和單機版本的不一樣。可能最新版本的熊貓針對殼來報毒的情況已經得到改善。需要用戶運行後才進行報毒,有點HIPS軟件的影子在裡面。
後面我會把樣本給作為附件貼出來。裝了熊貓的朋友可以自己測試下,希望能夠把問題搞清楚,目的不在於比出個誰高誰低,已經沒有多大的意思。有用國內三大的朋友歡迎測試跟貼。
一個無害的程序.沒有經過任何加殼.現在我們看看有幾個軟件會報毒:
图1:
很好,沒有一個軟件報毒,要是有軟件報毒的話,那也實在是說不過去了.
現在我們給它加上一層北斗3.7的殼.看看情況是不是發生了變化:
圖2
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.20.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Trojan-PSW.Win32.Nilage.aep
Sophos4.11.011.16.2006Mal/Packer
我們可以看出,上面的六款軟件報告了病毒,其中三個報了懷疑,一個報成了PCCLIENT,一個報成了NILAGE.一個報成了MAL.
測試壓殼後可以運行。
現在再加一層北斗殼,大家看看情況是不是又發生了變化:
圖3:
可以看出,在加了兩層殼之後,F-Prot4加入了這個報毒的行列
F-Prot44.2.1.2911.20.2006generic
剩下的還是前面已經報過毒的依舊報毒了.
經測試壓殼後可以運行
再加一層北斗殼,成了3層北斗殼,大家再來看看情況有變化沒有:
圖4:
情況沒有變化,好像我們的測試到這裡就可以結束了.
加殼後的程序可以運行.
PS:後面我還用NSPACK壓了一次做測試,依舊沒有發生變化,那麼我們關於多層北斗壓縮的測試就到這裡結束.
現在我們用原未加殼的程序看看加一層仙劍的殼,又會有什麼變化:
圖5:
AntiVir7.2.0.3911.20.2006HEUR/Crypted
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006Suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
可以看到,加了一層仙劍殼後,只有4款殺軟報了可疑.
書籤