畅所欲言：你认为MSE应该杀无法运行的病毒吗？

飞霜流华

背景：8月29日扫描区特殊测试：
A:病毒 4/10
E：无法运行的病毒 2/10
K：卡饭误报测试包 4/30
V：AVP误报测试包 0/10 （样本来自AVP Club论坛~）
这是MSE当天的测试成绩~
现在切入重点，无法运行的病毒应不应该报？
本次的E包全部采用去掉PE头的方式造成无法运行，很多杀软都有报（具体情况可以翻看扫描区记录），该情况在国内区已经引起了一些讨论，下面我挑选了国内区的一些观点，大家参考一下：

为什么要看pe,看pe就会有漏洞

你可以试试小红伞，据说头部全砍了一样报

如果看pe有效性
有些毒会写一些无效文件
自身也无毒 然后在内存把无效文件的病毒代码加载

所以看pe有效性就需要做回溯 但是 静态怎么做回溯
所以基本都不检查有效性

真要仔细研究，没有几家判断完美的，windows的loader实现得比较诡异，很多文档上说那样就不行得，他就是可以加载运行

真想完美解析，比较好的方式是完全逆向各个操作系统加载时的逻辑算法（这个算法也是一变再变，例如我之前给微软汇报的windows7内核远程拒绝服务漏洞ms11-048,就是win7修改这个算法改出的bug,类似的bug我还给微软报过很多，连他们自己都解析不好pe)

还要区分不同的loader种类（这个就更难了，比如sys和dll的loader是不一样的，但是对杀软来说只有文件怎么知道这个到底是要内核加载还是r3加载）
主要还是pe设计得太灵活了，当然这是有好处的这使得它流行了数十年，最近blackhat usa正好有一篇讲pecoff的论文，可以看看

不看PE，误报就上来了。

其实不看PE也很好理解的

如果是死的，鞭下尸也不会造成危害，但是如果因为判断PE逻辑出现漏洞，出现漏报的话，问题就大了

误报是由不看ＰＥ引起的吗？误报多数是误报的有效白文件，而失效的病毒被查杀不存在误报问题啊。

３Ｆ讲的很有道理，ＭＪ的分析更有道理。特征码具有精准对比，并不会由看不看ＰＥ引起更多的误报吧

所以从查杀效率上来看，根本不必分析ＰＥ，否则容易被利用绕过检测ＰＥ机制，得不偿失，其实都没有得，杀了损坏的病毒ＰＥ又不会损失什么啊。

所以楼主明显考虑欠妥，既然大家都没有检测ＰＥ有效性，那么自有大家衡量得失的考虑，楼主的考虑厂商们因该都考虑过了的。

如果没有因此而增加了误杀率（事实就是不会，只是多杀了病毒尸体而已），那就只有好处没有坏处啊，否则徒然浪费系统资源还增加被绕过的风险

病毒代码里有bug或者其他原因导致文件损坏的，原因各种各样，不好判断。个人感觉只要PE文件里面有恶意代码，就可以认定为病毒了

假如我们不仅仅局限于PE，把所有不能运行的恶意软件都算进去，残留病毒神马的也算进去，乃们觉得要不要报呢
补充：
1.在测试群里，破鼓的本意是想让杀软不报~
2.08年，某杀软某次测试有作弊嫌疑（注意本帖不允许讨论该杀软作弊问题，不允许对号入座，不允许就此问题口水，不然我送你去思过崖替我当空警），当次测试就有35个无法运行的样本，上报卡巴，卡巴未予入库~
最后，提出辩论话题吧：
1.从测试中来看，MSE也似乎没有检测PE有效性，那么现实情况下，MSE扫描，你觉得是否应该检测PE有效性？
2.MSE扫描，是否应该“鞭尸”（干掉无法运行的病毒尸体）？
3.假如上报了微软无法运行的病毒，你觉得微软是否应该入库？

费尔托斯特2011

沙发啊！
1、个人觉的没必要检测PE有效性，在我眼里PE只是个工具。我不会天天没事登PE玩！
2、个人认为是应该“鞭尸”以为不管怎么说他都是病毒，是病毒就应该杀。
3、只要微软承认是病毒就应该入库。

qzmxy2006

没有必要检测pe的有效性吧。就跟文章里的人说的一样 “根本不必分析ＰＥ，否则容易被利用绕过检测ＰＥ机制，得不偿失，杀了损坏的病毒ＰＥ又不会损失什么啊。”
应该鞭尸吧 虽然病毒尸体没啥危害 但是 杀了病毒尸体也不会有损失
入不入库就看微软自己了，有选择性的入库吧 无法运行的病毒pe 也包含恶意代码 可能有这种代码的其他病毒呢

qzmxy2006

费尔托斯特2011 发表于 2011-8-31 14:34
沙发啊！
1、个人觉的没必要检测PE有效性，在我眼里PE只是个工具。我不会天天没事登PE玩！
2、个人认为是 ...

额 这里说的pe 是pe可执行文件，乃理解错了 不是pe系统

qq2008

病毒就是坏人  杀了病毒当然要负责搬运尸体   本来就是尸体当天更要负责搬走~~~~

☆莫恋→红尘√

鞭尸吧。。。

柳生月如

我也同意鞭尸，这是用小红伞毛豆留下来的严谨后遗症。

hj5abc

没PE头不代表没有其他恶意代码，像MSE这样惯用通用特征的，说不定在这个无法运行的文件上取得的特征码可以识别到另一个可以运行的变种

zhentu2010

1. 不清楚；
2. 只要是威胁就要清除，在本机不可执行，不代表在其它平台不可执行，请尽可能给系统一个清洁的环境！
3. 应该入库，我觉得入库体现出对用户的严谨负责。

chaezoy

就目前MSE清毒的速度和效率来说，如果再杀非PE的话，对用户有些不友好了……