木马杀客骗人黑幕总结！

最近大家一直在讨论木马杀客行骗与否，我现在就将我做的测试及测试过程中发生的一些事件进行一次总结,是否行骗，大家一看便知分晓：

测试一：
NO1、选取了网上盛传的那个名为Virus-2005-Test的前三个木马文件，如下图所示：


NO2、木马杀客最新的“病毒库”可以识别并“隔离”，如下图所示：


NO3、这是三个木马文件的MD5值，如下图所示：


NO4、这是第一个木马文件1.EXE的入口点：


NO5、将该文件的入口点加一之后保存（这是做免杀的最基本的东西），如下图所示：


NO6、同样的办法也修改另两个文件的入口点，修改入口点之后，MD5值也随之改变如下图所示：

NO7、再用木马杀客去扫描，已经没办法扫到，如下图所示：


NO8、再将第一个木马文件的入口点改回去，如下图所示：


NO9、看到没有改为起初的入口点，如下图所示：


NO10、同样的办法也将其他两个木马的入口点改回去，看到没有，就算再将入口点改回去，MD5还是和原来的不一样了。如下图所示：


NO11、再用木马杀客扫，还是扫不到。如果真如木马杀客作者在主页上吹嘘的那样，木马杀客靠特征码识别的话，怎会将入口点加1修改，然后在改回去以后，就无法识别了呢。但只要是真的靠特征码识别的杀软，这样盖一遍的木马杀客是可以查杀的。所以，真相就是，首先木马杀客就是靠的MD5来识别木马。如下图所示：


木马杀客作者在其主页上大吹特吹其采用了特征码和传统的病毒库识别木马的方法，很显然，这是一个天大的骗局：


NO12、选取了木马杀客的三个主文件。如下图所示：


NO13、改名字为灰鸽子的服务端名字。如下图所示：


NO14、好家伙，木马杀客可是六亲不认的，名字对上了，立即将其“隔离”之。看到这里大家又该明白了一点，木马杀客还靠文件名来识别。如下图所示：



测试二：
NO1、大家只要打开木马杀客的安装目录下，找到tmp这个目录，将其中的ZY.ENX改为ZY.TXT。如下图所示：


NO2、大家就可以发现这里记录了大量的MD5值，我将第上面第一个测试中的1.EXE初始的MD5在这个文件里搜索，还真的搜到了哟。但是你将后几次的MD5值进行搜索，是搜不到的，因为那还没有被作者的这个“病毒库”所收录，所以也就复发查到木马了。如下图所示：


NO3、同理将该目录下另一个NAME.ENX文件改名为NAME.TXT，打开后，你也可以看到有很多的可执行文件名。如下图所示：

NO4、选取了一个灰鸽子的服务端名G_server.dll（也就是测试一中用到的木马名），结果也搜到了。如下图所示：


NO5、将TMP目录下的NAME.ENX和ZY.ENX删除之后，启动木马杀客只要点击扫描硬盘，就会出现初始化杀毒引擎的提示。如下图所示：


NO6、而所谓的初始化引擎，不过就是将作者打包存在木马杀客目录下的virus.dat文件中保存的NAME.ENX和ZY.ENX解压缩后，在TMP目录下重写生NAME.ENX和ZY.ENX文件，而这个，木马杀客作何却宣称这两个文件起到什么木马杀客启动加速的作用，谎话说到这个地步，真是厚颜无耻，这两个文件其实就是木马杀客所谓的＂病毒库＂！成如下图所示：

病毒库生成中：

病毒库生成中：

病毒库生成：


NO7、还有木马杀客目录下的那个skjm.dat文件，被瑞星报为木马的同时，卡巴也有提示改文件在记录键盘操作，但从一开始木马杀客作者就未对此文件的用途做过任何解释，估计是心里有鬼，不敢做过多的解释。大家再看，在10月15日发布木马杀客的时候，该文件的体积是12KB。如下图所示：


NO8、但被瑞星报为木马之后，作者迅速发布了一个新的skjm.dat文件，体积是122KB。如下图所示：


NO9、为何文件体积有了如此大的改变，原因就是，新的skjm.dat文件，作者有意加了ASP的壳来躲避瑞星的追杀。如下图所示：


测试三：
NO1、木马杀客的作者一直声称MMSK是其网站原传的反木马工具，但是我却发现这个所谓的“原创作品”与木马专家这个软件，有着说不清道不明的关系。如下图所示：


NO2、下载了木马专家2006版并安装。如下图所示：


NO3、木马专家目录下的INDEX.NEX和MD5.NEX文件和木马杀客TMP目录下的NAME.ENX和ZY.ENX文件有着异曲同工之妙。如下图所示：


NO4、我提取木马杀客目录下的NAME.ENX和ZY.ENX文件。如下图所示：


NO5、将其改名为INDEX.NEX和MD5.NEX文件。如下图所示：


NO6、将这个两个文件覆盖木马专家目录下的同名文件。如下图所示：


NO7、木马专家依旧能启动，看来二者的“病毒库”是通用的哟，木马专家的这个注册表备份，用惯了木马杀客的朋友，一定很眼熟吧。如下图所示：


NO8、看到没有，木马杀客的“病毒库”完全可以被木马专家调用。如下图所示：


NO9、看到没有二者的“病毒库”全部是一样的。如下图所示：


在来一个二者的病毒库的对比，只要你能在木马杀客中找到的，在木马专家的病毒库里一样搜索得到！


NO10、连MD5也是一样的。如下图所示：


NO11、老办法了弄了几个空文件名，改名字为图中的木马名字。如下图所示：


NO12、换为木马杀客“病毒库”的木马专家照杀不误。如下图所示：


NO13、还有一点，木马专家动作实在是够快的。我曾经到二者的论坛上把这个帖子中的第三个测试发到木马杀客和木马专家的论坛上，并质问二者到底谁在抄袭谁，两家的回答就颇有意思了。木马杀客坚持说其是自己的原传软件，木马专家却肯定的说，木马杀客是有人抄袭了木马专家的产物，其中的是非曲直，真的让人很难分辨！但就在帖子发出不久，木马专家迅速在11月28日发布的版本中，做了“优化”，那些能在11月12日版本中识别的“木马”（空字节的文件），而到了28日的版本中就不能识别了。如下图所示：


总之还是那句话，骗子就是骗子，不管你们的骗术多高明，骗局多精巧，但人民群众的眼睛是雪亮的，多高明的骗局总有被戳穿的一天！
虽然骗子在一次又一次的狡辨，但是大家可以看的出来他的辨解是多么的苍白无力，虽然骗子一直打着免费的旗号，但是大家都能看的出来他利用杀客赚亲情钱，利用木马专家赚昧心钱。
最后给大家献上电脑报第50期的董师傅在对木马杀客进行评测后的一段总结：现在的反木马软件基本上可以分为两大阵营：全能力的杀毒软件，通杀所有病毒和木马。乍一看，木马专杀软件“术业有专攻”似乎更胜一筹，用户容易对之产生信任感。然而通过验证，国内部分木马病毒专杀工具的能力让人怀疑，不可轻信软件作者的一面之词，用户应该慎用这类软件，以免感染木马病毒。 希望大家的电脑都能平安到永久！