NOD32VS费尔VS小红伞VS卡巴的病毒扫描能力

network · 发表于 2008-10-21 08:00:48

NOD32VS费尔VS小红伞VS卡巴的病毒扫描能力
小红伞VS卡巴2009VS EAV VS费尔的病毒扫描能力横向测评
最近看了不少卡饭测评区的测评帖子，对里面的测评方式不太赞同，我个人认为，判断一个杀毒软件杀毒能力的强弱，要看他对付变种病毒的查杀能力，换而言之就是黑客针对其做免杀的难易程度
PS：本人大一大二曾经花了一年多时间小钻研了下病毒，也曾通过入侵服务器挂免杀木马收获肉鸡达上千台，现在大三因为要准备CCIE考试才暂时撇下病毒的
PS：本人比较懒，就不一张张的贴图上来了，测试过程和结果均用文字描述，要是大家有兴趣可以按照我所描述的方法进行测试
测试方法：用一个小红伞，卡巴2009，EAV ，费尔都能识别的病毒样本，然后用常用的免杀方法对病毒进行处理，看看各个杀软的表现
测试病毒：黑防灰鸽子2008VIP会员专供免杀版，byshell黄金版，小红伞，卡巴2009，EAV ，费尔对其原版服务端进行扫描均能识别
首先测试对象：黑防灰鸽子2008VIP会员专供免杀版
步骤：
一，.按默认配置生成服务端
二，免杀处理之加单层壳，我们来用有“万壳之王”之称的驱动级壳——Themida1.7.3来加壳，而后用杀软扫描
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
三，免杀之加多层壳，依次使用ASPACK，maskPE，Svkp1.32来进行多层加壳，而后用杀软扫描
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
四，免杀之加多层变形壳，首先使用ASpack加壳，然后入口点减一，再maskPE，Svkp1.32来进行加壳后，入口点加一
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
五，免杀之添加花指令，向鸽子里添加花指令（所添加的花指令是我自己编写的，网上未公布哈）
PS：因为这个版本的灰鸽子服务端的code区段禁止写入数据，所以事先得用PE explorer来为code区段增加可写入数据的权限
卡巴2009——不识别
EAV ——报灰鸽子木马
小红伞——报灰鸽子木马
费尔——不识别

上述的扫描测试结果，卡巴的表现是如此令人失望，于是广大卡饭们肯定是不服气了，你们肯定会说，卡巴有主防，有了主防及时检测率较低也没什么，OK，那么我们来测试一款能穿透卡巴2009主动防御的远程控制木马——byshell黄金版（要钱的，须每年向作者支付200元方可使用，我这个byshell黄金版是朋友给的）
PS：顺便说下瑞星的主动防御，瑞星的主动防御完全就是个幌子，其实他的本质还是特征码杀毒！只使用主动防御的形式表示出来而已！以灰鸽子为例，只要NOP掉如下四个字符串：
自动上线/共享/未知/注册，即可成功穿透瑞星的主动防御，可以说瑞星的主动防御完全就是挂着羊头卖狗肉！！

byshell穿透主动防御关键是其服务端内部的名为：sys.sys驱动文件，而针对驱动文件的免杀只能采用修改特征码（尽管可以用VMprotect加密特征码，但是针对驱动级文件，这种方法极易出错，通用性不强），下面我们就看看我所测试四款杀软对其定义了几处特征码，定义的特征码越多，就能从侧面反映出免杀制作的难度越大
PS：大家不要以为使用影子系统，还原精灵，沙盘之类的工具就不会中毒了，我见过不少病毒就能穿透影子系统，还原精灵，沙盘，玩病毒最好还是用虚拟机，我目前为止还没见过能通过虚拟机感染真实机的病毒
特征码定义工具：MYCCL
定义结果：
小红伞——1 处特征码
特征码物理地址/物理长度如下:
[特征] 0000FA66_00000003

费尔——2处特征码
特征码物理地址/物理长度如下:
[特征] 00000277_00000002
[特征] 00000281_00000002

卡巴2009——2 处特征码
特征码物理地址/物理长度如下:
[特征] 0000D392_00000002
[特征] 0000F8FB_00000002

EAV ——10处以上的特征码。。。我已经定义了10处特征码，还没定义完，没耐心定义下去了。。。

总结：对付常规木马方面：小红伞不愧为杀鸽专业户，对鸽子的查杀能力极为出众，常用的免杀方法对小红伞无效，卡巴的查杀能力依旧令人失望，卡巴我从5.0就开始玩起了，一直到现在，对付多重加密壳以及未知花指令的能力依旧未得到改善，其启发式能力依旧羸弱（从其不能对付未知花指令就能看出）。EVA也让我失望透顶，我从NOD32 2.5开始玩起的，到现在其脱壳能力依旧未得到改善，至于费尔，其完全不具备脱壳能力，其启发式能力也是弱到不值得一提（从其不能对付未知花指令就能看出）。
对付驱动级木马方面：EAV 最为强悍，不愧为启发式最强的杀软，从我玩病毒的经验来看，驱动级木马一旦被NOD32顶上，免杀是很难的，但是其对中国市场貌似还不是很重视，病毒入库速度实在是太慢了。小红伞的启发式能力只是针对灰鸽子时还比较强，但是其对付其他木马尤其是驱动级木马时，启发式能力就比较弱了

PS：我用步骤二，步骤三，步骤四的免杀方式去处理了下byshell的 exe 文件，发现红伞均不能识别，看来红伞的脱壳能力很一般，只是针对灰鸽子加了些带壳定义特征

menghuer · 发表于 2008-10-22 19:02:05

首先说一下，作者是在杀软缺省配置下，做的测试，那么真正对杀软作进一步的配置的话，杀软都会对上面的加壳病毒做出反应的，判断一个杀毒软件的强弱，要看此杀软对已知病毒的查杀能力，对未知病毒、木马的侦测扫描能力，对PC文件系统的防御能力

zkstudent2 · 发表于 2008-10-25 12:03:13

我做的免杀全过

menghuer · 发表于 2008-10-25 15:41:28

那我的最高级别扫描一个也没过

账号		自动登录	找回密码
密码			注册