多重殼測試結果
2008-02-23 22:44:48 / 個人分類:Security
前言 :
其實這次的測試, 純粹偶然, 本身沒有想過會做這測試, 亦不想做
因為多重殼的測試準備功夫很多, 究竟是要用哪配搭做測試? 用哪種方式加多重殼? 哪個殼先加, 哪個後加? 哪幾個殼要加? 等等,都要一一考慮
但在偶然的機會下, 本身是為了研究ESET的虛疑能力, 加了數款單一殼, 到後來加多重殼, 因當中有少少的問題, 導致這個結果出現
由於多種因素都沒有考慮, 結果的準確性有待驗證
測試形式 :
加多重殼後, 測試可行性, 上傳到VirusTotal掃瞄
加殼方式 :
測試結果 :
測試排名 (首2名) :
計算方式為, 與原始檔報同一樣的名稱
其他的都不排名了, 因為只掃到1個, 而且數量眾多, 沒有意思
註 :
*1 : 只考慮加了殼的3個樣本
*2 : 大家會問, NOD32v2 報啟發, 對其他防毒軟體不公平
的而且確大家可能會因此覺得這測試好像是偏袒NOD32v2, 但其實NOD32v2 的啟發式與傳統的特徵碼掃瞄很相似, 只要加了不認識的殼, 就無法偵測, 詳細可參考這篇http://www.avpclub.ddns.info/dis ... 73182&ptid=8577
當然亦不排除NOD32v2對某些加殼樣本是啟發式偵測的, 更詳細的結果, 要待入庫後才知道, 因此有括號()
樣本也公佈了, 希望各位不要用來害人, 亦要小心檔案
因為, 檔案的圖示容易使其他人執行
如因這些樣本導致的任何問題, 本人恕不負責
[ 本帖最後由 000110 於 2008-2-23 22:36 編輯 ]
其實這次的測試, 純粹偶然, 本身沒有想過會做這測試, 亦不想做
因為多重殼的測試準備功夫很多, 究竟是要用哪配搭做測試? 用哪種方式加多重殼? 哪個殼先加, 哪個後加? 哪幾個殼要加? 等等,都要一一考慮
但在偶然的機會下, 本身是為了研究ESET的虛疑能力, 加了數款單一殼, 到後來加多重殼, 因當中有少少的問題, 導致這個結果出現
由於多種因素都沒有考慮, 結果的準確性有待驗證
測試形式 :
加多重殼後, 測試可行性, 上傳到VirusTotal掃瞄
加殼方式 :
- ntdlr.com -> 原始檔案
- ntdlr.exe -> 1) KByS 2) FSG
- 複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack
- 複製 -複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack 4) FreeRes + Yoda
測試結果 :
- http://www.virustotal.com/analis ... 8fb508f052a839d91ae
- http://www.virustotal.com/analis ... 834edf7ba909cc1030e
- http://www.virustotal.com/analis ... 4e0876172709be8e38e
- http://www.virustotal.com/analis ... 4e0876172709be8e38e
測試排名 (首2名) :
計算方式為, 與原始檔報同一樣的名稱
- BitDefender / (NOD32v2*2)
(3/3)
- Ewido / VBA32
(2/3)
防毒軟體名稱
成績*1
其他的都不排名了, 因為只掃到1個, 而且數量眾多, 沒有意思
註 :
*1 : 只考慮加了殼的3個樣本
*2 : 大家會問, NOD32v2 報啟發, 對其他防毒軟體不公平
的而且確大家可能會因此覺得這測試好像是偏袒NOD32v2, 但其實NOD32v2 的啟發式與傳統的特徵碼掃瞄很相似, 只要加了不認識的殼, 就無法偵測, 詳細可參考這篇http://www.avpclub.ddns.info/dis ... 73182&ptid=8577
當然亦不排除NOD32v2對某些加殼樣本是啟發式偵測的, 更詳細的結果, 要待入庫後才知道, 因此有括號()
樣本也公佈了, 希望各位不要用來害人, 亦要小心檔案
因為, 檔案的圖示容易使其他人執行
如因這些樣本導致的任何問題, 本人恕不負責
[ 本帖最後由 000110 於 2008-2-23 22:36 編輯 ]
Sample.rar
(2008-02-23 22:33:41, Size: 143 kB, Downloads: 1)
相關閱\讀:
- 免殺方法層出不窮 (000110, 2008-1-12)
- 讓你也可以安全"下載"OneCare (000110, 2008-1-22)
- 防毒軟體測殼大亂鬥 結果公佈! (000110, 2008-1-27)
論壇模式 推薦 收藏 等級(0) 編輯 管理 查看(1321) 評論(15)
TAG: Security
-
avividstar發佈於2008-02-28 21:57:46
-
tis08 miss
-
andy
發佈於2008-02-26 17:31:56
-
QUOTE:
原帖由 couldsst 於 2008-2-26 17:04 發表
是proll 自己翻譯的簡體中文版
F-prot 有中文報告
估計是發貼時轉了碼為繁體而已
-
couldsst
發佈於2008-02-26 17:04:27
-
回復 12# 的帖子
F-prot 有中文報告
-
000110
發佈於2008-02-26 12:10:48
-
F-Port說"ntdlr.exe"是已損壞還真
不過可以掃瞄出"複製 -複製 -aspack -ntdlr.com.out.exe"最後加的兩個殼已很不錯2.GIF)
-
proll發佈於2008-02-26 11:56:21
-
F-prot默認中等啟發式:
-----------------------------SCAN REPORT-----------------------------
F-PROT Antivirus for Windows
反病毒掃描引擎版本號: 4.4.2
病毒定義日期: 2008-2-26, 4:15
掃描名稱: Samples Scan(M)
掃描路徑: \|
常規掃描
掃描附加設置: 包含子目錄, 數據流
掃描開始時間: 2008-2-26, 11:55:35
---------------------------------------------------------------------
[發現威脅 木馬] <W32/Trojan2.MXY (精確)> \Sample\ntdlr.com
[發現威脅 可疑危險程序] <W32/Heuristic-162!Eldorado (已損壞, 不可解毒)> \Sample\ntdlr.exe->(FSG)->(Dot_Shoo)
[發現威脅 可疑危險程序] <W32/Heuristic-162!Eldorado (不可解毒)> \Sample\複製 -aspack -ntdlr.com.out.exe->(Nakedpack)->(NSPack)
[發現威脅 可疑危險程序] <W32/Heuristic-162!Eldorado (不可解毒)> \Sample\複製 -複製 -aspack -ntdlr.com.out.exe->(YodaProt)->(Nakedpack)
---------------------------------------------------------------------
掃描結束時間: 2008-2-26, 11:55:36
持續時間: 0:00:01
掃描結果:
掃描文件數: 12
感染的: 4
解毒的: 0
隔離的: 0
---------------------------------------------------------------------
-
integear發佈於2008-02-24 14:26:28
-
事實上,最近才發現:原來BD對於AVC的測試根本沒聽過
.
今天問了BD一些關於B-HAVE的事情,並提出AVC的測試結果,不過BD似乎根本沒看過該評測結果,還要在下提供報告網址 .
看來還是AV-Test比較有公信力吧 .
-
000110
發佈於2008-02-24 13:57:08
-
更新連結
剛剛看了看couldsst大大整理的報表, 發現了一處極嚴重的錯誤
測試結果中的第4項應為底下的連結 :
4. http://www.virustotal.com/analis ... 83f7623ad7a21c07449
-
couldsst
發佈於2008-02-24 13:45:57
-
辛苦 000110大的測試摟~~
也順手把資了整理成表格應該會比較容易看
多重殼測試(VirusTotal).rar
(2008-02-24 13:45:57, Size: 5.7 kB, Downloads: 2)
-
shisin發佈於2008-02-24 10:03:25
-
QUOTE:
原帖由 integear 於 2008-2-23 23:23 發表
恩恩,所以再多層一點的殼就掃不到了
Panda脫殼能力算中等了 .
-
integear發佈於2008-02-23 23:23:01
-
QUOTE:
原帖由 shisin 於 2008-2-23 23:21 發表
Panda脫殼能力算中等了
|熊貓鉑金版 2008 版本:12.01.00 |病毒碼版本:2008-02-23|
掃描結果:2/4,如下圖:
已將檔案回報上傳至熊貓S.O.S病毒危機處理中心。 .
-
integear發佈於2008-02-23 23:22:31
-
如果用之前的黑炸彈的話,或許會比較公平,不過這樣蠻耗時的 .
不過這也表明虛擬機真的非常管用,但是BD做得還不如ESET好 .
而BD龐大的威脅資料庫卻可以補足這點
.
-
shisin發佈於2008-02-23 23:21:21
-
|熊貓鉑金版 2008 版本:12.01.00 |病毒碼版本:2008-02-23|
掃描結果:2/4,如下圖:
已將檔案回報上傳至熊貓S.O.S病毒危機處理中心。
-
gh1234j
發佈於2008-02-23 22:54:03
-
掃瞄記錄
NOD32版本 2897 (20080222) NT
指令行: D:\Documents and Settings\KAI\桌面\Sample
正在檢查NOD32.EXE檔案的CRC:狀態標準
C:\Program Files\Eset\nod32.exe - 是標準的。
掃瞄系統記憶體中:沒有進行 (選項已關閉)
1 的MBR區。物理磁碟是標準的。
1 的活動開機磁區。物理磁碟是標準的。
日期: 23.2.2008 時間:22:53:39
反竊密引擎已被開啟。
已掃瞄的磁碟,資料夾及檔案:D:\Documents and Settings\KAI\ ?
?桌面\Sample\
D:\Documents and Settings\KAI\桌面\Sample\ntdlr.com - ?
?未查明的 NewHeur_PE 病毒 [7]
D:\Documents and Settings\KAI\桌面\Sample\ntdlr.exe - ?
?未查明的 NewHeur_PE 病毒 [7]
D:\Documents and Settings\KAI\桌面\Sample\複製 -aspack ?
?-ntdlr.com.out.exe - 未查明的 NewHeur_PE 病毒 [7]
D:\Documents and Settings\KAI\桌面\Sample\複製 -複製 ?
?-aspack -ntdlr.com.out.exe - 未查明的 NewHeur_PE 病毒 [7]
已掃瞄的檔案數目:4
已發現的病毒數目:4
活動的病毒數目:4
完成時間: 22:53:45 總掃瞄時間:6 秒 (00:00:06)
注意:
[7] 此檔案可能感染到不詳病毒。
-
000110
發佈於2008-02-23 22:46:12
-
回復 2# 的帖子
附件的描述
-
a750828發佈於2008-02-23 22:42:51
-
密碼是什麼
[ 本帖最後由 a750828 於 2008-2-23 22:44 編輯 ]