在Linxer加入到超级巡警开发团队后,虚拟脱壳机的脱壳能力,让不少原先一直认为国内反病毒、反木马领域脱壳能力远落后于欧美的人们,跌了一回眼镜,多谢Linxer
;)
这回XCON 2007上,Linxer讲了个议题《AV引擎之虚拟机脱壳技术》,有不少朋友感兴趣,将PPT放出来供大家下载,一个供测试的脱壳机,可以在俺们主站下载。目前:
我们的工作
– 目前的脱壳支持能力(经过测试验证支持的壳列表包括57种300个版本)
– 准确解密和模拟跟踪方案
VMUnpacker 引擎SDK(欢迎同行联系脱壳引擎的合作事宜,可以发邮件到unpacker@unnoo.com)
– 无需关心脱壳过程和脱壳方法
– 支持将壳脱到文件和脱到内存缓冲区,并且直接返回OEP
大成天下数据安全实验室总结的壳排行列表(http://dswlab.com/toppacker.html)如下:
|
排 名
|
壳 名
|
百分比
|
|
1
|
UPX
|
0.145%
|
|
2
|
ASPack
|
0.031%
|
|
3
|
Petite
|
0.028%
|
|
4
|
PECompact
|
0.027%
|
|
5
|
UPack
|
0.026%
|
|
6
|
FSG
|
0.023%
|
|
7
|
PecBundle
|
0.022%
|
|
8
|
NSPack
|
0.018%
|
|
9
|
Neolite
|
0.014%
|
|
10
|
Pex
|
0.005%
|
|
12
|
MEW
|
0.004%
|
|
13
|
Yoda
|
0.004%
|
|
14
|
NSAnti
|
0.003%
|
|
15
|
Morphine
|
0.003%
|
|
17
|
PE_Patch.Morphine
|
0.002%
|
|
11
|
Expressor
|
0.002%
|
|
16
|
TeLock
|
0.002%
|
[Linxer]AV引擎之虚拟机脱壳技术 
回复
引用
