卡饭论坛 » 卡饭评测区 » 安软横向测评区 » 绝对权威！小红伞VS卡巴 VS EAV VS费尔的病毒扫描能力横向测评！！

fzq198776 发表于 2008-8-10 23:48

绝对权威！小红伞VS卡巴 VS EAV VS费尔的病毒扫描能力横向测评！！

最近看了不少卡饭测评区的测评帖子，对里面的测评方式不太赞同，我个人认为，判断一个杀毒软件杀毒能力的强弱，要看他对付变种病毒的查杀能力，换而言之就是黑客针对其做免杀的难易程度
PS：本人大一大二曾经花了一年多时间小钻研了下病毒，也曾通过入侵服务器挂免杀木马收获肉鸡达上千台，现在大三因为要准备CCIE考试才暂时撇下病毒的
PS：本人比较懒，就不一张张的贴图上来了，测试过程和结果均用文字描述，要是大家有兴趣可以按照我所描述的方法进行测试[:18:]
测试方法：用一个小红伞，卡巴2009，EAV ，费尔都能识别的病毒样本，然后用常用的免杀方法对病毒进行处理，看看各个杀软的表现
测试病毒：黑防灰鸽子2008VIP会员专供免杀版，byshell黄金版，小红伞，卡巴2009，EAV ，费尔对其原版服务端进行扫描均能识别
首先测试对象：黑防灰鸽子2008VIP会员专供免杀版
步骤：
一，.按默认配置生成服务端
二，免杀处理之加单层壳，我们来用有“万壳之王”之称的驱动级壳——Themida1.7.3来加壳，而后用杀软扫描
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
三，免杀之加多层壳，依次使用ASPACK，maskPE，Svkp1.32来进行多层加壳，而后用杀软扫描
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
四，免杀之加多层变形壳，首先使用ASpack加壳，然后入口点减一，再maskPE，Svkp1.32来进行加壳后，入口点加一
测试结果：
卡巴2009——不识别
EAV ——不识别
小红伞——报灰鸽子木马
费尔——不识别
五，免杀之添加花指令，向鸽子里添加花指令（所添加的花指令是我自己编写的，网上未公布哈）
PS：因为这个版本的灰鸽子服务端的code区段禁止写入数据，所以事先得用PE explorer来为code区段增加可写入数据的权限
卡巴2009——不识别
EAV ——报灰鸽子木马
小红伞——报灰鸽子木马
费尔——不识别

上述的扫描测试结果，卡巴的表现是如此令人失望，于是广大卡饭们肯定是不服气了，你们肯定会说，卡巴有主防，有了主防及时检测率较低也没什么，OK，那么我们来测试一款能穿透卡巴2009主动防御的远程控制木马——byshell黄金版（要钱的，须每年向作者支付200元方可使用，我这个byshell黄金版是朋友给的）
PS：顺便说下瑞星的主动防御，瑞星的主动防御完全就是个幌子，其实他的本质还是特征码杀毒！只使用主动防御的形式表示出来而已！以灰鸽子为例，只要NOP掉如下四个字符串：
自动上线/共享/未知/注册，即可成功穿透瑞星的主动防御，可以说瑞星的主动防御完全就是挂着羊头卖狗肉！！

byshell穿透主动防御关键是其服务端内部的名为：sys.sys驱动文件，而针对驱动文件的免杀只能采用修改特征码（尽管可以用VMprotect加密特征码，但是针对驱动级文件，这种方法极易出错，通用性不强），下面我们就看看我所测试四款杀软对其定义了几处特征码，定义的特征码越多，就能从侧面反映出免杀制作的难度越大
PS：大家不要以为使用影子系统，还原精灵，沙盘之类的工具就不会中毒了，我见过不少病毒就能穿透影子系统，还原精灵，沙盘，玩病毒最好还是用虚拟机，我目前为止还没见过能通过虚拟机感染真实机的病毒
特征码定义工具：MYCCL
定义结果：
小红伞——1 处特征码
特征码 物理地址/物理长度 如下:
[特征] 0000FA66_00000003

费尔——2处特征码
特征码 物理地址/物理长度 如下:
[特征] 00000277_00000002
[特征] 00000281_00000002

卡巴2009——2 处特征码
特征码 物理地址/物理长度 如下:
[特征] 0000D392_00000002
[特征] 0000F8FB_00000002

EAV ——10处以上的特征码。。。我已经定义了10处特征码，还没定义完，没耐心定义下去了。。。

总结：对付常规木马方面：小红伞不愧为杀鸽专业户，对鸽子的查杀能力极为出众，常用的免杀方法对小红伞无效，卡巴的查杀能力依旧令人失望，卡巴我从5.0就开始玩起了，一直到现在，对付多重加密壳以及未知花指令的能力依旧未得到改善，其启发式能力依旧羸弱（从其不能对付未知花指令就能看出）。EVA也让我失望透顶，我从NOD32 2.5开始玩起的，到现在其脱壳能力依旧未得到改善，至于费尔，其完全不具备脱壳能力，其启发式能力也是弱到不值得一提（从其不能对付未知花指令就能看出）。
对付驱动级木马方面：EAV 最为强悍，不愧为启发式最强的杀软，从我玩病毒的经验来看，驱动级木马一旦被NOD32顶上，免杀是很难的，但是其对中国市场貌似还不是很重视，病毒入库速度实在是太慢了。小红伞的启发式能力只是针对灰鸽子时还比较强，但是其对付其他木马尤其是驱动级木马时，启发式能力就比较弱了

PS：我用步骤二，步骤三，步骤四的免杀方式去处理了下byshell的 exe 文件，发现红伞均不能识别，看来红伞的脱壳能力很一般，只是针对灰鸽子加了些带壳定义特征码

PS：本人花了三小时才完成这篇帖子，希望斑竹能给点奖励哈，谢绝口水，同时不要和我探讨有关病毒免杀的问题，我现在忙于准备CCIE考试，没时间。。。

说明下，我不公布样本那是因为我不希望被杀软查杀，请见谅！！
看得懂的就看，看不懂的也请注意文明用语！！

[color=blue]本人博客：[/color][url=http://yghacker.bokee.com/][color=blue]http://yghacker.bokee.com/[/color][/url][color=blue]   欢迎各位前来交流！！！[/color]
[color=#008000][/color]
[color=red]引用第三十楼的回复：
卡饭是没希望了。楼主只是比较了一下杀毒软件免杀的情况，就被骂成这样。。。
引用第三十一楼的回复
唉，又被很多人骂了，整天就是骂来骂去的。
[/color]
[color=red]PS：当初要不是为了团购费尔我也不会在卡饭论坛注册的，我当初玩hacker的时候一般是在黑客论坛上转悠，现在因为学习CCIE，一般是在cisco的网站和英文google找资料，只是我在网上经常看到有很多人说费尔而是如何如何的好，所以想亲身验证下，而且卡饭的团购极其便宜，所以一才注册参与团购的，不过经过我此次的测试，发现费尔有点名不副实。。。
算是对卡饭让我这么便宜买到费尔的感谢，我才写出了这个横向测评的帖子，帖子里面的内容都是当今国内“黑客”使用的常见的文件免杀方法（针对瑞星需要做专门的内存免杀处理）
看看楼下的那些回复，想不到被人说成这样，卡饭的学习风气实在太差，难怪高手在论坛一般都是潜水！[/color]

[[i] 本帖最后由 fzq198776 于 2008-8-11 10:42 编辑 [/i]]

tdk 发表于 2008-8-11 00:24

沙发？
高手阿，佩服

不是天才 发表于 2008-8-11 01:36

不是沙发，支持你，考试要过关哦，呵呵

solcroft 发表于 2008-8-11 01:47

没有检测样本的有效性，没有公布样本，没有说明杀软版本和病毒库，基本上什么都没有就胡扯一通，自娱自乐，然后说不同意评测区的评测，自己说的才是绝对权威
我很想笑，但又觉得LZ有点可悲，笑不出来...

ghsy_2007 发表于 2008-8-11 01:54

卡巴现在的立体防御也不是那么好过的，只是扫扫而已，即便是偶然有一两个漏掉的也属于正常
费尔的宣传口号是什么
动态防御---揪出你电脑中的灰鸽子，本来就不支持脱壳，启发也不行，所以在对付变种木马病毒基本都依靠动态防御。
目前为止还少见到有过动态防御的灰鸽子。
[img]http://www.filseclab.com/images/fddsmov1.gif[/img]

WillBeNextKido 发表于 2008-8-11 01:57

回复 4楼 solcroft 的帖子

[:01:] 怎么能这样说人家 这个测试的技术含量还是有的 但是过程以及前提条件却没有告诉给各位观众 可惜了哦 LZ的免杀技术还是可以的 哈哈 我都好久没碰过了

WillBeNextKido 发表于 2008-8-11 01:58

回复 1楼 fzq198776 的帖子

最后问一下 莫非现在卡巴对花指令还是那么的弱智么[:08:]

fzq198776 发表于 2008-8-11 02:11

回复七楼，对付未知花指令的查杀依旧是很弱智！！看来兄台也曾经和我一样玩过基本hacker技术[:13:]
回复四楼，我不公布样本那是因为我不希望被杀软查杀，另外，很显然你没认真的玩过病毒，不懂病毒的免杀，不了解病毒圈中的最新情况，所得到的杀软查杀能力的强弱的信息都是道听途说，否则你不会说出这样的话，顺便再说下，灰鸽子过费尔的动态主防是不行，但是byshell却可以，不要以为世界上除了灰鸽子就没有远程控制木马了！
PS：以后还是潜水算了，这些东西本来就不应该发到卡饭来，引来无谓的口水，这些东西应该是我们圈子里人自己交流的，我们圈子里的人判断杀软查杀能力的强弱就只看针对其做免杀的难易程度，这点跟卡饭的测评不太一样，卡饭的测评是通过大量收集样本而测试查杀的广度，查杀率即使再高，也只能反映其样本收集能力很强，并不能反映杀软的核心技术——杀毒引擎的强弱。最后再说点和你们众多卡饭不一样的看法：其实如果单看杀毒引擎，在众多杀软中EAV最强，费尔最弱！！人家EAV以超小的病毒库，次次通过VB100就是最好的证明，而EAV的最大劣式就是针对中国区病毒的样本收集力度不够，这点也是让我最郁闷的地方。。。
希望别再引来口水，同时也请各位注意文明用语。。。
第一次在卡饭发主题帖，搞得人郁闷。。。

[[i] 本帖最后由 fzq198776 于 2008-8-11 03:05 编辑 [/i]]

dikaios 发表于 2008-8-11 02:31

高手，十分敬仰

solcroft 发表于 2008-8-11 03:23

回复 8楼 fzq198776 的帖子

原来只有同意你的说话的人才算是有见识的，难怪你的说话什么本钱都不需要，明白了
你可以追求你自己心目中的幻想和概念，什么所谓的强引擎高技术，但我一向来对这些空谈无视，比较喜欢看一些实际点的东西

[[i] 本帖最后由 solcroft 于 2008-8-11 04:54 编辑 [/i]]

wyqtc1988 发表于 2008-8-11 03:29

就因为EAV对中国的样本的收集以及处理太让人失望 让我转头小红伞门下
费尔说实话不太喜欢 它的引擎其实太一般了 关键是比较专研的精神敬佩下[:32:]

卩灬枫林晚 发表于 2008-8-11 03:49

个人认为，判断一个杀毒软件杀毒能力的强弱，要看他对付变种病毒的查杀能力，换而言之就是黑客针对其做免杀的难易程度
既然是你个人认为就没必要加个绝对权威了
鸽子只是一方面[:xi5:]

lg6310 发表于 2008-8-11 07:10

呵呵，有点道理，我没那么钻研，混了这么多年只是略懂皮毛

spiha 发表于 2008-8-11 07:25

*** 作者被禁止或删除 内容自动屏蔽 ***

gwg829 发表于 2008-8-11 07:32

普通用户需要的只是查杀   能杀出来就好 那管你哪么多 [:xi46:]

zhangdingyin 发表于 2008-8-11 07:32

据本人所知：尺有所短，寸有所长；各有优劣。楼主的测试数据能公示吗？最好带上图。

spaceplane 发表于 2008-8-11 07:48

其实我也觉得nod的引擎比较好，但这只是我的第6感

童話ゼ影子 发表于 2008-8-11 07:54

[:11:] 什么是权威呢？

jiebozhang 发表于 2008-8-11 08:13

楼主测试下蜘蛛的引擎

不会比红伞差吧

yss870 发表于 2008-8-11 08:16

楼主厉害啊，我这样的菜鸟还要多学习啊

查看完整版本: 绝对权威！小红伞VS卡巴 VS EAV VS费尔的病毒扫描能力横向测评！！