[多图]反木马软件也出假货 对木马杀客的行骗过程的总结
http://www.cnbeta.com/images/topics/045_warning.gif最近大家一直在讨论木马杀客行骗与否,我现在就将我做的测试及测试过程中发生的一些事件进行一次总结,是否行骗,大家一看便知:
测试一:
NO1、选取了网上盛传的那个名为Virus-2005-Test的前三个木马文件,如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap1.jpg
NO2、木马杀客最新的“病毒库”可以识别并“隔离”,如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap2.jpg
NO3、这是三个木马文件的MD5值,如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap3.jpg
NO4、这是第一个木马文件1.EXE的入口点:
http://home.goofar.com/yuyuanhua/01/Snap4.jpg
NO5、将该文件的入口点加一之后保存(这是做免杀的最基本的东西),如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap5.jpg
NO6、同样的办法也修改另两个文件的入口点,修改入口点之后,MD5值也随之改变如下图
所示:
http://home.goofar.com/yuyuanhua/01/Snap6.jpg
NO7、再用木马杀客去扫描,已经没办法扫到,如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap7.jpg
NO8、再将第一个木马文件的入口点改回去,如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap8.jpg
NO9、看到没有改为起初的入口点,如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap9.jpg
NO10、同样的办法也将其他两个木马的入口点改回去,看到没有,就算再将入口点改回去
,MD5还是和原来的不一样了。如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap10.jpg
NO11、再用木马杀客扫,还是扫不到。如果真如木马杀客作者在主页上吹嘘的那样,木马
杀客靠特征码识别的话,怎会将入口点加1修改,然后在改回去以后,就无法识别了呢。所以,真相就是
木马杀客就是靠的MD5+文件名识别。如下图所示:
http://home.goofar.com/yuyuanhua/01/Snap11.jpg
http://home.goofar.com/yuyuanhua/03/Snap14.jpg
NO12、选取了木马杀客的三个主文件。如下图所示:
http://home.goofar.com/yuyuanhua/01/A12.jpg
NO13、改名字为灰鸽子的服务端名字。如下图所示:
http://home.goofar.com/yuyuanhua/01/A13.jpg
NO14、木马杀客立即六亲不认,将其“隔离”之。看到这里大家又该明白了一点,木马杀
客还靠文件名来识别。如下图所示:
http://home.goofar.com/yuyuanhua/01/A14.jpg
测试二:
NO1、大家只要打开木马杀客的安装目录下,找到tmp这个目录,将其中的ZY.ENX改为
ZY.TXT。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap13.jpg
NO2、大家就可以发现这里记录了大量的MD5值,我将第上面第一个测试中的1.EXE初始的
MD5在这个文件里搜索,还真的搜到了哟。但是你将后几次的MD5值进行搜索,是搜不到的,因为那还没有
被作者的这个“病毒库”所收录,所以也就复发查到木马了。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap14.jpg
NO3、同理将该目录下另一个NAME.ENX文件改名为NAME.TXT,打开后,你也可以看到有很
多的可执行文件名。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap15.jpg
NO4、选取了一个灰鸽子的服务端名G_server.dll(也就是测试一中用到的木马名),结
果也搜到了。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap16.jpg
NO5、将TMP目录下的NAME.ENX和ZY.ENX删除之后,启动木马杀客只要点击扫描硬盘,就会
出现初始化杀毒引擎的提示。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap17.jpg
NO6、而所谓的初始化引擎,不过就是将作者打包存在木马杀客目录下的virus.dat文件中
保存的NAME.ENX和ZY.ENX解压缩后,在TMP目录下重写生NAME.ENX和ZY.ENX文件,而这个,木马杀客作者
却宣称这两个文件起到什么木马杀客启动加速的作用,谎话说到这个地步,真是厚颜无耻,这两个文件其
实就是木马杀客所谓的"病毒库"!成如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap18.jpg
病毒库生成中:
http://home.goofar.com/yuyuanhua/02/Snap19.jpg
病毒库生成中:
http://home.goofar.com/yuyuanhua/02/Snap20.jpg
病毒库生成:
http://home.goofar.com/yuyuanhua/02/Snap21.jpg
NO7、还有木马杀客目录下的那个skjm.dat文件,被瑞星报为木马的同时,卡巴也有该文
件键盘操作的提示,大家看,在10月15日发布木马杀客的时候,该文件的体积是12KB。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap22.jpg
NO8、但被瑞星报为木马之后,作者迅速发布了一个新的skjm.dat文件,体积是122KB。如
下图所示:
http://home.goofar.com/yuyuanhua/02/Snap23.jpg
NO9、为何文件体积有了如此大的改变,原因就是,新的skjm.dat文件,作者加了ASP的壳
来躲避瑞星的追杀。如下图所示:
http://home.goofar.com/yuyuanhua/02/Snap24.jpg
测试三:
NO1、木马杀客的作者一直声称MMSK是其网站原传的反木马工具,但是我却发现这个所谓
的“原创作品”与木马专家这个软件,却有着说不清道不明的关系。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap14.jpg
NO2、下载了木马专家2006版并安装。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap1.jpg
NO3、木马专家目录下的INDEX.NEX和MD5.NEX文件和木马杀客TMP目录下的NAME.ENX和
ZY.ENX文件有着异曲同工之妙。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap2.jpg
NO4、我提取木马杀客目录下的NAME.ENX和ZY.ENX文件。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap3.jpg
NO5、将其改名为INDEX.NEX和MD5.NEX文件。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap4.jpg
NO6、将这个两个文件覆盖木马专家目录下的同名文件。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap5.jpg
NO7、木马专家依旧能启动,看来二者的“病毒库”是通用的哟,木马专家的这个注册表
备份,用惯了木马杀客的朋友,一定很眼熟吧。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap6.jpg 市政中心政府上门慰问,发给你 330 思明论坛的慰问金!
下次努力哦!……NO8、看到没有,木马杀客的“病毒库”完全可以被木马专家调用。如下图所示:
NO9、看到没有二者的“病毒库”全部是一样的。如下图所示:
在来一个二者的病毒库的对比,只要你能在木马杀客中找到的,在木马专家的病毒库里一
样搜索得到!
NO10、连MD5也是一样的。如下图所示:
NO11、老办法了弄了几个空文件名,改名字为图中的木马名字。如下图所示:
NO12、换为木马杀客“病毒库”的木马专家照杀不误。如下图所示:
NO13、还有一点,木马专家动作实在是够快的。我曾经到二者的论坛上把这个帖子中的第
三个测试发到木马杀客和木马专家的论坛上,并质问二者到底谁在抄袭谁,两家的回答就颇有意思了。木
马杀客坚持说其是自己的原传软件,木马专家却肯定的说,木马杀客是有人抄袭了木马专家的产物,其中
的是非曲直,真的让人很难分辨!但就在帖子发出不久,木马专家迅速在11月28日发布的版本中,做了“
优化”,那些能在11月12日版本中识别的“木马”(空字节的文件),而到了28日的版本中就不能识别了
。如下图所示:
总之还是那句话,骗子就是骗子,不管你们的骗术多高明,骗局多精巧,但人民群众的眼睛是雪亮的,多高明的骗局总有被戳穿的一天!
虽然骗子在一次又一次的狡辨,但是大家可以看的出来他的辨解是多么的苍白无力,虽然骗子一直打着免费的旗号,但是大家都能看的出来他利用杀客赚亲情钱,利用木马专家赚昧心钱。
最后给大家献上电脑报的董师傅在对木马杀客进行评测后的一段总结:
现在的反木马软件基本上可以分为两大阵营:全能力的杀毒软件,通杀所有病毒和木马。乍一看,木马专杀软件“术业有专攻”似乎更胜一筹,用户容易对之产生信任感。然而通过验证,国内部分木马病毒专杀工具的能力让人怀疑,不可轻信软件作者的一面之词,用户应该慎用这类软件,以免感染木马病毒。 市政府上门征税,收取你 3% 的个人所得税!
下次努力哦!……NO8、看到没有,木马杀客的“病毒库”完全可以被木马专家调用。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap7.jpg
NO9、看到没有二者的“病毒库”全部是一样的。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap8.jpg
在来一个二者的病毒库的对比,只要你能在木马杀客中找到的,在木马专家的病毒库里一
样搜索得到!
http://home.goofar.com/yuyuanhua/03/Snap9.jpg
NO10、连MD5也是一样的。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap10.jpg
NO11、老办法了弄了几个空文件名,改名字为图中的木马名字。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap11.jpg
NO12、换为木马杀客“病毒库”的木马专家照杀不误。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap12.jpg
NO13、还有一点,木马专家动作实在是够快的。我曾经到二者的论坛上把这个帖子中的第
三个测试发到木马杀客和木马专家的论坛上,并质问二者到底谁在抄袭谁,两家的回答就颇有意思了。木
马杀客坚持说其是自己的原传软件,木马专家却肯定的说,木马杀客是有人抄袭了木马专家的产物,其中
的是非曲直,真的让人很难分辨!但就在帖子发出不久,木马专家迅速在11月28日发布的版本中,做了“
优化”,那些能在11月12日版本中识别的“木马”(空字节的文件),而到了28日的版本中就不能识别了
。如下图所示:
http://home.goofar.com/yuyuanhua/03/Snap13.jpg
总之还是那句话,骗子就是骗子,不管你们的骗术多高明,骗局多精巧,但人民群众的眼睛是雪亮的,多高明的骗局总有被戳穿的一天!
虽然骗子在一次又一次的狡辨,但是大家可以看的出来他的辨解是多么的苍白无力,虽然骗子一直打着免费的旗号,但是大家都能看的出来他利用杀客赚亲情钱,利用木马专家赚昧心钱。
最后给大家献上电脑报的董师傅在对木马杀客进行评测后的一段总结:
现在的反木马软件基本上可以分为两大阵营:全能力的杀毒软件,通杀所有病毒和木马。乍一看,木马专杀软件“术业有专攻”似乎更胜一筹,用户容易对之产生信任感。然而通过验证,国内部分木马病毒专杀工具的能力让人怀疑,不可轻信软件作者的一面之词,用户应该慎用这类软件,以免感染木马病毒。
[ 本帖最后由 冷血无情 于 2006-12-22 13:06 编辑 ] :lol :victory: 市政府上门征税,收取你 3% 的个人所得税!
下次努力哦!……:Q :handshake :victory: :) :lol 参加游戏手气不好,一分钱没捞到还花了 168 思明论坛!
下次努力哦!……LZ太牛B了!!!! 有人捡到钱把你当成失主送给了你,收到 292 思明论坛,热心值减 3 !
下次努力哦!……太牛了你:lol :lol 买了一套NIKE运动装,花了 603 思明论坛!
下次努力哦!……这个...难道是原创?
页:
[1]