病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 慎用巨盾出的lpk.dll-usp10.dll感染病毒专杀工具没有找到dsound.dll的解决方法 »

测试加壳加花——微点篇

  本篇测试并不严谨,只为响应佳佳的测试要求,给杀毒软件的主程序加个壳或加个花,看看杀毒软件会不会只因为加壳或加花而不看加壳加花的对象就报警。其实微点不算传统意义上的杀毒软件,不依靠特征码来检测病毒,所以加壳加花对它来说本来说没有意义,理论上是这样的。理论还说,即使不加壳,病毒只要不运行,站在微点面前也认不出来,微点判断是否病毒,要看对象是否产生危害行为。以上纯属理论。

  试了下测试工具帖里的各种工具(dapack、word 0day、花蝴蝶加花、怒剑狂花),单独下载或打开这些工具程序所在的文件夹,微点都会报蠕虫、病毒什么的,运行也运行不了(注意这里,打开它们所在的文件夹就报毒,并没运行微点就有反应,说明理论上不一定是正确的,除了主动防御外可能也有其它检测手段)。没办法,为了安全,装个虚拟机,把工具拷进去,用微点主程序制作样本,完成后再拷出来运行,让微点测(微点没有扫描,只能运行测试,注意我说的是微点主防,不是扫描版),结果没一个报毒的。主要是运行时就显示出错(无法运行),因此就进行不下去了。

  举个word 0day例子,解压微点会报病毒Constructor.Win32.Wordrop.b。然后在虚拟机中制作一个样本,加入微点主程序和一个word的doc文档,生成一个同名的doc文件,如图

微点测word 0day 1

加入主程序前的文件属性,文件大小178KB:

微点测word 0day 2

加入主程序后的文件(用word 0day工具生成的doc文件)属性,文件变大,1.07MB:

微点测word 0day 3

 

运行样本后直接打开一个空白的word文档,微点没报警:

 微点测word 0day 4

  情况就是如此,另外说明一点,虽然微点不依靠特征码检测病毒,加壳加花对其理论上无意义,但不代表不存在只有加壳加花才能过微点的病毒木马。后来特意新装了个没有打过任何更新补丁的office2003,再把word 0day的程序加入一个word文档,用微点来测,也没反应,不过word文档不再是一直打开,而是打开一下就关闭了,难道微点同样没检测到?

  其它杀毒软件的测试:

都是马甲惹的祸-----杀软对病毒壳查杀评测(卡巴) http://bbs.icpcw.com/viewthread.php?tid=1847318
实测可能让杀软自杀的马甲——瑞星篇 http://bbs.icpcw.com/viewthread.php?tid=1847627
免费comodo互联网安全套装测试 http://bbs.icpcw.com/viewthread.php?tid=1849546
金山毒霸word oday马甲测试 http://bbs.icpcw.com/viewthread.php?tid=1847987
avast4.8的小测试 http://bbs.icpcw.com/viewthread.php?tid=1849602


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/666.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.

闽公网安备 35010202000133号