买正版杀毒软件你会买哪款？

小林制药

jefffire 发表于 2012-3-10 23:16
xuetr多个版本，百瑞多个版本，自己写的MD5修改器，汉化的hash校验器，还有私人写的一些小软件，比如凝 ...

兄台的意思是说，它们的行为都很“规矩”，完全没有加驱动，下钩子，注线程等等行为，对吧？

好吧老兄，金山本土化也悲剧了，我上报过一个样本，两年了啊！！！还没入库呐！

jefffire

小林制药 发表于 2012-3-10 23:22
兄台的意思是说，它们的行为都很“规矩”，完全没有加驱动，下钩子，注线程等等行为，对吧？

加驱动，注入线程就是病毒？ 那么杀毒软件本身就是个大病毒。而且很不幸的是百锐就是个扫描引擎，不加驱动，不注入，没钩子，MD5修改器也是，汉化的hash校验软件更是。

jefffire

技术本身就是把双刃剑，把加载驱动，注入行为等同于恶意行为是十分可笑的。rootkit技术，在病毒和杀毒软件中都有存在，但一个是恶意的，一个是良性的。再举个例子，如果一个木马只做两件事，读取电脑内的文本文档（内含机密信息），然后联网上传，如果以技术的好坏来辨别，这个木马不加驱动，不注入，不挂钩子,那么它就不是木马了？？显然一个程序是否是恶意程序，从来不是从它使用了什么技术来判断，而是从其意图来判断。

因此对keygen，patch等灰色软件的处理，依然要遵从意图原则，如果其本身确实存在偷盗和破坏行为则定性为木马没有问题，如果不存在则定义为potential unwanted application（PUA）更为合适，这也是eset，avast，卡巴斯基等厂商的处理原则，这样既做到了提醒用户潜在风险的义务，也避免了对用户的过分干涉。毕竟安全厂商，无权做法律和道义上的审判。

进一步引申到诺顿的误报问题上。诺顿真的对keygen，patch杀无赦么？根据我的了解并非如此，比如我有两个文件，诺顿将其定义为良好。一个是使命召唤8破解版，一个是极品飞车热力追踪的修改器，均具备注入和篡改原版文件的行为。那为什么还是良好呢？究其根本原因这两个都是美国流行的patch和破解，因此有理由相信，诺顿将其加白了。所以归根结底而言，还是本土化问题。

小林制药

jefffire 发表于 2012-3-10 23:24
加驱动，注入线程就是病毒？ 那么杀毒软件本身就是个大病毒。而且很不幸的是百锐就是个扫描引擎，不加驱 ...

很不幸，杀毒软件都是做杀毒的合法企业出的。百锐也是有法人资格的。就像是枪，警察拿着就是警械，劫匪拿着就是凶器，老百姓拿着也一样犯法。

就是不可疑，MD5修改器用了特殊方法写文件吧？Hash校验被汉化了肯定对资源进行过处理了吧？

针对兄台提出的COD8之类的破解版问题，我手上有个《国家的崛起》的修改器，老玩具了，美国也很流行，但是赛门铁克始终看见就杀，所以我认为兄台把不杀破解COD8的情况划入到“本土化”问题来举例子不是很合适。因为这样的反例很容易找，而且一找就一堆。

扔掉行为不说，我也支持你“根据意图判定该不该杀”的观点。但是怎么判定程序的意图？去直接把程序员找来喝茶肯定是不现实的，那么只能从程序的行为来判断。一个没有合乎标准的数字签名，没有正规的出处，没有质量保证的程序本身就如同没有身份证的人一样，再加上它手里还拿着把枪，抓它也无可厚非。就是没有枪（指特殊行为），那么戴着个透视眼镜满大街溜达一边走一遍记而且没带身份证的人（如同兄台所举之木马），当然也算得是可疑人物了不是？

PUA是好事，但是很多时候也是在考用户。我曾经不止一次被卡巴斯基给考住过。而且话说是避免过多干涉用户，从另一角度上讲则是推卸责任的一种——这可是你用户点的“允许”，与我可没关系。那要这样的软件有何用？所以我个人的观点是我支持提示为PUA，但是不应该让用户去做选择题，况且这选择题多数情况下只有备选答案，连题干都没有。

我不是抱持着“非白就该杀”的观点。我的看法是该杀的要杀，不该杀的不杀。而不是像之前那位兄台表述的“凡是对我有用的注册机和破解版都不该杀”。什么该杀？有危险行为的，有可疑行为的，与正常程序不行为一定程度上不一致的该杀。什么不该杀？正常的文件，行为“规矩”的文件，没有危险行为和可疑行为（代码）的文件不该杀。把不该杀的文件杀了才叫误杀。而把“对我有用的注册机和破解版”给杀了就说诺顿误杀，那诺顿还真冤。

wjcharles

jefffire 发表于 2012-3-10 23:16
xuetr多个版本，百瑞多个版本，自己写的MD5修改器，汉化的hash校验器，还有私人写的一些小软件，比如凝 ...

白文件加载那个完全是官方不作为，遇到0access的白文件利用http://blogs.mcafee.com/mcafee-l ... y-signed-installers，24h内入库，sonar一个星期后升级可以杀；而到了国内，从一开始的支付宝钓鱼的白文件利用，到最近QQ黏虫的白文件利用，前前后后几个月，官方都没有任何针对性动作，官方论坛也没有有意义的反馈。。。现在国内的云存储也卖给华为了，不知道成都那个响应中心在忙什么

88865ff

小林制药 发表于 2012-3-10 23:05
您自己说的不能一棒子打死，那么推论下去破解和注册机都没有危害么？您能保证不会盗号而且没有恶意行为？ ...

那比如一个破解补丁 卡巴没有报 诺顿报毒了 难道说诺顿比卡巴技高一筹？还是两个的鉴定结果有区别？我反正认为没有恶意行为没有盗号行为的只要报就是误报。也许这是我个人的鉴定方法！

nmscl

卡巴死机了。

jefffire

小林制药 发表于 2012-3-11 00:04
很不幸，杀毒软件都是做杀毒的合法企业出的。百锐也是有法人资格的。就像是枪，警察拿着就是警械，劫匪 ...

这比喻就明显不对。我国法律规定枪械必须获得许可才可持有，因此劫匪和百姓拿着枪都算犯罪。但是很显然，rootkit，injection这类技术，目前为止，没有任何一个国家的任何一条法律规定必须获得许可才可以在程序中使用。显然，只要你有技术能力，都可以自由的使用任何编程技术，安全软件公司没有权力禁止和限制个人，小团体自由使用编程技术的权利。

怎么判定程序的意图？当然不需要找程序员来喝茶。分析具体的行为，利用反汇编工具检查代码，就能够判定程序的意图，这也是安全软件公司的病毒分析人员的职责所在。
比如加载驱动，仅仅从“加载驱动”这么模糊的描述出发，什么也判定不了。加载驱动的最终目的是什么？是为了hook函数以拦截特定对象，还是为了起到过滤作用分析网络流量和文件？是为了获得最高权限从而不受限制的访问机密信息，还是为了隐藏自身逃避检测？？分析这些不同的目的就是安全软件公司的职责所在，笼统的把加载驱动的不是大公司出品的文件都当作病毒杀掉，显然是不负责任的做法。
同样，MD5修改器不论有没有用特殊方法写文件（实际上使用的是公开接口，和记事本编辑无异）都不能成为可疑的理由。是否是病毒要看MD5修改器最终修改了什么，是插入了恶意代码？还是修改的无关紧要的东西？实际上仅仅是给文件末尾加了两个0而已。hash校验汉化对资源进行了处理，这不假。但这就是把它判定为病毒的理由么？显然是荒谬的。汉化资源内存在恶意代码么？这个程序会有什么恶意行为？

提示PUA给用户选择，就是推卸责任的说法，不敢苟同。这和责任没有什么关系，这是一个用户交互和用户体验的问题。如果非要说到责任，那么不论是诺顿，还是卡巴斯基，在用户使用条款中都有免责声明，都表示不能彻底解决安全问题。用户使用诺顿和卡巴而中毒造成的损失，也没看见赛门铁克和卡巴斯基有任何赔偿。反倒是金山提出了“敢赔”的口号，使用金山毒霸网购保镖，在网购中损失500元以内的都原价赔偿。认为卡巴给用户提示PUA就是不负责任，只是五十步笑六十步罢了。

jefffire

wjcharles 发表于 2012-3-11 00:33
白文件加载那个完全是官方不作为，遇到0access的白文件利用http://blogs.mcafee.com/mcafee-labs/zeroa ...

唉～～无力吐槽

zccnau

电脑好就用卡巴， 一般nod32
了