三、对复合加壳木马视而不见

    我们用掘北压缩 0.28和北斗压缩3.6测试下，这个组合当年也敌对过好一阵各大杀软，当时没测试过诺顿，今天有兴趣测试一下，掘北压缩 0.28和北斗3.6的界面如我复合抓了一个小图，如图13
 

图13

    加壳过程不说了，很简单，我测试先加哪个都无所谓，诺顿都不杀。结果不再截图。
看来对于这样简单的复合壳，诺顿对其的查杀力度也很弱。到此，我有点感叹，但是测试还要继续。还有很多种情况也来看看。

    四、加密后的木马也可蒙混过关

    看看对vmprotect这个的查杀力度怎么样，在WWW.UNPACK.CN下了一个vmprotect1.24，现在新的版本应该是1.55，1.24算是一个比较老的了，用vmprotect载入新生成的服务端，如下图10

图10

    选择右边DUMP选项卡，之后加密过程如本想找个汉化版的，但是一时没找到，看如图11

图11

    对复件 Server.exe执行加密会生成一个 复件 Server.vmp.exe，扫描一下，结果如下图12

图12

    HOHO，直接用VMP加个密，诺顿检测不出来，这个VMP的版本也不算新了。VMP加密上线是成功的。

    五、对一些比较小的不常见的加密壳的测试

    在一些论坛，例如，看雪，一蓑烟雨等论坛可以收集一些体积比较小的壳，也很出色的壳，一般小黑们也拿它们来做木马免杀，例如mpack,spack,npack, GHF Protector,Rcryptor, CRYPToCRACK's PE Protector等等有很多。看一下这些小小的迷你的加密器，如图14

图14

    笔者采用上述软件对鸽子服务端逐一实验加密。这些单独加密程序都被卡巴斯基、瑞星、金山等杀毒软件下所绞杀。
而试用诺顿2008时，其结果却让我们大跌眼镜——
    spack加密后杀掉；
    mpack加密后杀掉；
    GHF Protector加密被杀；
    Rcryptor加密后不杀；
    CRYPToCRACK's PE Protector加密后不杀；
    NPACK加密后不杀。

    一共测试了6个小的加密壳木马，三个杀，三个不杀。结果如此，不知道是赛门铁克不屑于收集这些小加壳的信息呢，还是对整个加壳程序重视程度不够，收集不全？然而无论何种原因，给用户带来的结果却是，用户电脑防范安全威胁力度不可能做到到位。

    六、对于特征定位应付强度的测试

    小黑们经常喜欢用特征码定位器之类的工具对木马进行再加工。不过这一工具的效果正在丧失，因为众多杀软在这方面的查杀能力越来越强了。由于这种手法还是比较流行的，所以我们在利用这种方法，体会一下诺顿2008在这方面的查杀能力。