【討論】转贴：成也加壳，败也加壳

[proll]

轉自大陸霏凡論壇的Vader
成也加殼,敗也加殼（11月22日更新，並提供測試樣本）

本文送給所有喜歡安全的朋友們，這篇文章是我花了半天時間的測試結果，大家看看就好了。
千萬別用在加殼過殺軟的用途上面哦。

感謝proll, syst的幫助，修改了幾處錯誤。

PS：PANDA的在線引擎可能和單機版本的不一樣。可能最新版本的熊貓針對殼來報毒的情況已經得到改善。需要用戶運行後才進行報毒，有點HIPS軟件的影子在裡面。
後面我會把樣本給作為附件貼出來。裝了熊貓的朋友可以自己測試下，希望能夠把問題搞清楚，目的不在於比出個誰高誰低，已經沒有多大的意思。有用國內三大的朋友歡迎測試跟貼。


一個無害的程序.沒有經過任何加殼.現在我們看看有幾個軟件會報毒:
图1:

很好,沒有一個軟件報毒,要是有軟件報毒的話,那也實在是說不過去了.



現在我們給它加上一層北斗3.7的殼.看看情況是不是發生了變化:
圖2

CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.20.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Trojan-PSW.Win32.Nilage.aep
Sophos4.11.011.16.2006Mal/Packer
我們可以看出,上面的六款軟件報告了病毒,其中三個報了懷疑,一個報成了PCCLIENT,一個報成了NILAGE.一個報成了MAL.
測試壓殼後可以運行。



現在再加一層北斗殼,大家看看情況是不是又發生了變化:
圖3：

可以看出,在加了兩層殼之後,F-Prot4加入了這個報毒的行列
F-Prot44.2.1.2911.20.2006generic
剩下的還是前面已經報過毒的依舊報毒了.
經測試壓殼後可以運行



再加一層北斗殼,成了3層北斗殼,大家再來看看情況有變化沒有:
圖4：

情況沒有變化,好像我們的測試到這裡就可以結束了.
加殼後的程序可以運行.
PS:後面我還用NSPACK壓了一次做測試,依舊沒有發生變化,那麼我們關於多層北斗壓縮的測試就到這裡結束.



現在我們用原未加殼的程序看看加一層仙劍的殼,又會有什麼變化:
圖5：

AntiVir7.2.0.3911.20.2006HEUR/Crypted
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006Suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
可以看到,加了一層仙劍殼後,只有4款殺軟報了可疑.

[proll]

程序經過一層加殼後可以正常運行.
再加一層仙劍殼,卻發現已經不能運行.真是氣人.算了,也測試下有沒有軟件報這個程序屍體:
圖6：

哈,看見沒,應該是不報的一個程序屍體,不但上面的4個軟件報了可疑,連F-Prot4也報了可疑,
F-Prot44.2.1.2911.20.2006generic
單一的仙劍殼測試就到這裡結束了,再繼續下去也沒有什麼意思.


接這是JDPACK的加殼測試,先加一層看看情況再說:
圖7：

令人驚奇,又有三個軟件報了.它們分別報的情況如下:
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
Kaspersky4.0.2.2411.21.2006Packed.Win32.Klone
軟件壓縮後可以運行.
由於JD的壓縮之能壓縮一次,所以就不能做多層壓縮測試了.我們換個殼再看看.


0bug0.1殼加密,很可惜加殼後的程序是沒有辦法運行的,但是我們還是可以看看多少軟件報了這個程序屍體:
圖8：

一共是4個軟件報了:
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
McAfee490011.20.2006New Malware.g
Panda9.0.0.411.20.2006Suspicious file


eXPressor的殼:
先加一層的測試(快速壓縮),程序壓縮後可以運行:
圖9：

三個軟件報可疑,兩個軟件報成了FLUX後門.
AntiVir7.2.0.3911.20.2006HEUR/Crypted
eSafe7.0.14.011.20.2006Suspicious Trojan/Worm
Ewido4.011.20.2006Logger.Flux.a
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.21.2006Backdoor.Win32.Flux.B


假如是高比例壓縮,會和快速壓縮一樣的情況嗎?(軟件壓縮後可運行)
圖10：

變成只有4個軟件報了:
AntiVir7.2.0.3911.20.2006HEUR/Crypted
eSafe7.0.14.011.20.2006SuspiciousR-Mytob6
Ewido4.011.20.2006Downloader.Banload.ase
Fortinet2.82.0.011.21.2006suspicious
真是太驚訝了,EWIDO前後報的不樣.

[proll]

免殺木馬加殼器生成的程序屍體,看看情況吧:
圖11:

分別有5個軟件報了,這也難怪,國內不少人就是拿著個這個自己的後門加殼,算他們倒霉
只是也害得別人的無害程序也跟著倒了黴了.
AntiVir7.2.0.3911.21.2006TR/Crypt.Np.Gen
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
Kaspersky4.0.2.2411.21.2006Type_Win32
Panda9.0.0.411.20.2006Suspicious file



木馬帝國木馬免殺器加的殼又會如何呢,我們來試試就知道了:加殼後運行程序正常後,送去掃瞄:
圖12

有又4個軟件報了:
AntiVir7.2.0.3911.21.2006HEUR/Crypted
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
Fortinet2.82.0.011.21.2006suspicious
Kaspersky4.0.2.2411.21.2006Trojan.Win32.Crypt.v










單一的測試結束了,現在我們來測試混合的,嘿嘿,希望大家不要看睡著了,是比較無聊.


1. 木馬帝國木馬免殺器+北斗(可以運行):
圖13：

6個軟件報毒,奇怪的是KAV報的毒再了層北斗殼後改變了.
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
Ikarus0.2.65.011.21.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Trojan-PSW.Win32.Nilage.aep
Sophos4.11.011.16.2006Mal/Packer




2. 木馬帝國木馬免殺器+2層北斗(可以運行):
圖14：

和上面只加兩層北斗殼出現了一樣的情況,那麼我們也沒有必要再測試下去了.


3. JDPACK+北斗(可以運行)
圖15：

8個軟件報了,看來混合的加殼比單一的加殼更加容易引發誤報現象:
CAT-QuickHeal8.0011.20.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.21.2006suspicious
F-Prot44.2.1.2911.20.2006generic
Ikarus0.2.65.011.21.2006Backdoor.Win32.PcClient.GV
Kaspersky4.0.2.2411.21.2006Packed.Win32.Klone
Panda9.0.0.411.20.2006Suspicious file
Sophos4.11.011.16.2006Mal/Packer

[proll]

4. JDPACK+2層北斗(可以運行)：
圖16：

讓我驚奇的是,上面報的8個軟件這次還是會報毒(廢話?)
但是我們發現Dr.web也假如了報毒的行列之中.讓我有點奇怪.
DrWeb4.3311.21.2006Win32.Besso



5. JDPACK+3層北斗(可以運行):情況和JDPACK+2層北斗時候的一樣.




6. JDPACK+3層北斗+EXPRESSOR(可以運行)情況又有變化了:
圖17：

從上面的測試結果可以看出，報殼王非CAT-QuickHeal莫屬了。幾乎加了殼的它都會報，讓人寒一個，
antivir/panda/sophos/kaspersky也有不少針對殼來報毒的習慣。
其中大部分都是以啟髮式的方式來報出的，實在讓人懷疑它們所謂的啟髮式到底說穿了是不是僅僅是針對殼來報病毒的。


上面的幾個加殼軟件都是國內常見的用於加密木馬和後門的殼類。
這篇文章僅供大家做個參考。沒什麼實實在在的技術含量在裡面，但是把報殼來作為所謂的啟髮式殺毒，我想這個就有點說不過去了。

==================================================
11月22的新發佈的內容：


歲月聯盟專用木馬加殼器加一層殼的測試結果(程序加殼後可以運行):
圖18：

除去超級報殼王CAT/SOPHOS不說
CAT-QuickHeal8.0011.21.2006(Suspicious) – DNAScan
Sophos4.11.011.16.2006Mal/Packer
報殼第二梯隊的表現也是十分的不俗
讓我們看看ANTIVIR/AVAST分別報了什麼吧:
AntiVir7.2.0.4411.22.2006BDS/Hupigon.DP
Avast4.7.892.011.20.2006Win32:Hupigon-RW
兩個軟件直接把加過這個殼的EXE文件給當成灰鴿子殺掉了.並沒有報殼
可能是國內太多人用這個加殼工具給灰鴿子加殼了吧,導致反病毒廠商直接殼特徵碼了事.



歲月聯盟專用木馬加殼器加兩層殼的測試結果(程序加殼後變成程序屍體):
圖19：

狂寒一個,居然發生了讓我也想不通的情況.這個程序屍體,
ANTIVIR繼續報鴿子.AVAST居然不報了.
熊貓居然又湊熱鬧報了個懷疑.真是亂了.



接著來個混合的殼, 歲月聯盟專用木馬加殼器+北斗殼,結果成程序屍體了,不管.驗證下:
圖20：

AVAST居然又來了.這次ANTIVIR沒報
Avast4.7.892.011.20.2006Win32:Hupigon-RW
剩下的就不多說什麼了:
CAT-QuickHeal8.0011.21.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006suspicious Trojan/Worm
Fortinet2.82.0.011.22.2006suspicious
Ikarus0.2.65.011.22.2006Backdoor.Win32.PcClient.GV
Panda9.0.0.411.21.2006Suspicious file
Sophos4.11.011.16.2006Mal/Packer

[proll]

FSG 2的測試足以讓人徹底的無語(程序壓縮後可以運行):
圖21：

只有報殼王CAT/SOPHOS繼續發飆..讓我已經沒有辦法再多說什麼了.



FSG+歲月(屍體程序):
圖22：

證實了我的想法:PE-ARMOR的殼加上去後,ANTIVIR是一定會把它們給報成灰鴿子的.
剩下的大家看圖就明白了5個軟件都報了.針對殼來報.




SVKP的殼加了一層以後文件體積會變大好幾倍,但是卻是可以運行的,看看情況吧:
圖23：

有5個軟件報了:
CAT-QuickHeal8.0011.21.2006(Suspicious) – DNAScan
eSafe7.0.14.011.20.2006Win32.Polipos.sus
Fortinet2.82.0.011.22.2006suspicious
Ikarus0.2.65.011.22.2006Win32.IRC.BOT.Based
UNA1.8311.21.2006Win32.CRYPT.virus
看來報殼的問題還真是嚴重,又有幾個原來沒有發現有報殼的廠商被發現了,比如UNA.



SVKP+北斗,結果成了具程序屍體,情況卻越來越有意思了:
圖24：

看見沒,突然間覺得只要是兩個混合殼加密,ANTIVIR肯定能給你來一下:HEUR/CRYPTED.
熊貓的在線引擎對混合殼的敏感度也很強,統統來個未知啟發.

[proll]

看到了嗎，某些防毒軟體的啟髮式、誤報的真面目漏出來了。

PS:這裡面的Panda在線引擎沒有參考價值，和單機版的Panda的引擎不同，測試結果參考意義不大。


測試所使用的樣本：
FSG2+歲月
FGS2+岁月.rar
SVKP＋北斗
SVKP+北斗.rar
歲月＋北斗
岁月+北斗测试样本.rar

[ㄚ一]

請問proll 兄

PANDA家用版跟企業版
有實質上的差別嗎?

[proll]

我玩過企業的4.0，引擎實質沒有差別，企業用戶很少購買具有Truprevent的版本，一般買的是純防毒的。

[redalert0239]

沒想到NOD都沒誤報 它的啟發式還真厲害...

[proll]

沒想到NOD都沒誤報 它的啟髮式還真厲害...

並非單純的啟髮式測試，是開啟啟髮式的測試，包括了病毒代碼測試，某些基於病毒代碼的軟體也加入了誤報的行列。
最後得到公認誤報最低具有良好啟髮式能力的軟體是：NOD32 BD PANDA