关于VMP加壳的免sha效果

洛涧华 · 发表于 2023-1-15 13:51:01

没错，今天刚写过一个VMP壳子软件，只能说有一定免杀效果，但达不到绝对。以前VMP还是比较实用的，现在国内360又开始杀起来了！易语言也真的是无语了。下面做了个小测试，没错，写了一个几乎空白的程序，1个窗口，1个组件，1个信息框命令。那么直接上传分析可以发现是被判了死刑为木马病毒的，360、卡巴、瑞星，以及其他电脑上的企鹅管家、金山、章鱼，都第一时间标记木马并查杀了。那么经过加上一个VMP壳子，可以看到还是有效果的，风险等级降低为可疑，由于360、K9一类几家的存在，文件仍然不是绝对免杀，这点要认识到，这里不存在绝对。那么好在国内常用的引擎几乎只有360仍然报毒，可以看到红伞、百度、瑞星和微软等都很和谐了（要知道德国老牌杀毒小红伞的引擎也是被很多杀毒软件引用的，比如360），我这边金山、章鱼卫士也没报，只是企鹅管家提示了可能存在风险。

综合来讲仅一道步骤免杀大部分，效果还是可观的，当然易语言本身的缺陷也很明显（见末尾倒数第2张图），一个几乎没有内容的程序运行即带有4种可疑行为，很多杀软会以此判定为特洛伊木马了。如果可以，趁早学学C++一类程序比较和谐的语言吧...

下面是整个程序测试的操作完整步骤截图，最后附带易语言程序自带的可疑行为和最终几个引擎检出的结果（国内常见有360）