关于“ 试试你的杀毒软件的引擎是不是真的可以正确扫描~”一贴的问题

显示全部楼层 · 发表于 2013-2-21 15:34:34

本帖最后由 daojianwuhen 于 2013-2-22 02:21 编辑

火绒官人的原帖：http://bbs.kafan.cn/thread-1471826-1-1.html

原帖已经引起争议，本人原本发这个贴也是想说出自己的观点，然而自身水平有限，不够专业之处颇多，希望大家能各抒己见弥补我自身的不足，如今三个帖子看来又有渐渐口水的趋势，如果真的口水了，恳请版主锁帖

本身水平限制，不能系统性的分析，推荐大家看“zhq445078388”的贴子http://bbs.kafan.cn/thread-1472037-1-1.html

另引用Flameocean的话：就像很多国家对杀人犯并不除以极刑，然后天朝却有死刑，你不能说国外的的方式就好，每个国家有每个国家的国情，V大你说的误报问题，但是这只是火绒自己的做法，或者是火绒自己的认证标准。另外V大似乎犯了一个致命的问题，你作为CEO来说，未免太欠妥，还是那句话，对于加壳问题，世界上没有一个统一的标准，你不能说火绒的对，也不能说其他杀毒软件的错，因为这种就没有标准，没有标准还谈什么呢，这就是大家分歧的根本，另外V大不能说误报的就差之类的，这样非常欠妥，做人低调一点，勿喷

===================================================================

【再次重申，绝不是病毒~~】

你都不是病毒了，加壳做什么，正常软件和工具会加壳吗？行为防御，特征鉴定都是吃干饭的吗？加壳是一种正常行为吗？

测试样本：23个纯白文件！！！【XP,WIN7系统的计算器程序！】

正常的系统文件被加壳，被修改了，安软不应该可疑吗，不报未必是不正常的，报也不是错误的，本来标准就有不同

有人回应

lzy199156 发表于 2013-2-21 15:05
正解!有些杀软会检测程序是否原版,是否被修改,这样测试还是不够公允的.

楼主解释

你穿了件和罪犯一样的耐克，你也是罪犯了？

卡巴一个也不误报，还有为啥，微软自己一个都不报毒呢？？？

误报了就误报了，没啥的，赶紧解决问题就可以了~~咱不能找些理由搪塞用户，是吧~~

面对这种论调，真心无语了

PS:
百科：加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。
加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码。
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，做一些额外的工作。大多数病毒就是基于此原理。
加壳的程序经常想尽办法阻止对程序的反汇编分析或者动态分析，以达到它不可告人的目的。这种技术也常用来保护软件版权，防止被软件破解。

显示全部楼层 · 发表于 2013-2-21 15:37:18

本帖最后由九尾野狐于 2013-2-21 15:39 编辑

有些壳基本就病毒会用

所以遇到这种壳很多杀软直接启发报壳

还有写会检测系统文件是否被修改加壳修改了文件大小也会被报

我觉得可以多加些对比测试

显示全部楼层 · 发表于 2013-2-21 15:40:26

本帖最后由 hwl573452046 于 2013-2-21 15:43 编辑

正常软件和工具加壳的多了去了，你以为只有病毒木马才去加壳？！加壳程序本身跟免杀没有直接关系，只是被病毒木马恶意的利用了而已另外，加壳也算有病毒行为？！

显示全部楼层 · 发表于 2013-2-21 15:44:26

hwl573452046 发表于 2013-2-21 15:40
笑还专门发帖来丢人哦
正常软件和工具加壳的多了去了，你以为只有病毒木马才去加壳？！加壳程序本身 ...

你就是那一贴的楼主是吧，你所使用的壳里面有一部分是一般病毒木马才会使用的，可疑不是正常的吗

显示全部楼层 · 发表于 2013-2-21 15:44:44

本帖最后由 617902068 于 2013-2-21 16:00 编辑

你都不是病毒了，加壳做什么，正常软件和工具会加壳吗？行为防御，特征鉴定都是吃干饭的吗？加壳是一种正常行为吗？

加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。
加壳过的程序可以直接运行,但是不能查看源代码.要经过脱壳才可以查看源代码。
加壳的另一种常用的方式是在二进制的程序中植入一段代码，在运行的时候优先取得程序的控制权，做一些额外的工作。大多数病毒就是基于此原理。
加壳的程序经常想尽办法阻止对程序的反汇编分析或者动态分析，以达到它不可告人的目的。
这种技术也常用来保护软件版权，防止被软件破解。

以上摘自百度百科

显示全部楼层 · 发表于 2013-2-21 15:48:01

daojianwuhen 发表于 2013-2-21 15:44
你就是那一贴的楼主是吧，你所使用的壳里面有一部分是一般病毒木马才会使用的，可疑不是正常的吗

连楼主都没有搞清楚，也难怪了哦。。

显示全部楼层 · 发表于 2013-2-21 15:48:01

我也觉的白文件加壳也是有的，况且这样也可以促进各大杀软厂商快快改进一下啊，一个压缩包，猎豹浏览器和管家都报了、、、、、、、唉

显示全部楼层 · 发表于 2013-2-21 15:51:21

本帖最后由大金鱼先生于 2013-2-21 15:53 编辑

1.不建议用系统程序测试,因为可能会被报程序被修改而不是报病毒
2.加壳无可厚非,一般程序也加,不然od\ida里面一拖让你暴露无遗

显示全部楼层 · 发表于 2013-2-21 15:57:02

本帖最后由 mmppp9898 于 2013-2-21 16:12 编辑

你都不是病毒了，加壳做什么，正常软件和工具会加壳吗？行为防御，特征鉴定都是吃干饭的吗？加壳是一种正常行为吗？

看了第一句就笑翻了！正常软件加壳才是壳的初衷和正确用法，病毒加壳只是后来病毒作者歪用加壳技术的结果……楼主的论断很明显是没搞清楚加壳技术最初的目的是为了保护软件不被破解或盗版！

加壳技术说到底只是一个保护程序的技术，不管他要保护的程序是正常的软件还是病毒，加壳技术本身是无可厚非，无所谓黑白的，就像犯罪分子用菜刀杀人，正常人也要用菜刀一样，你不能说：“你不是犯罪分子，你拿菜刀做什么？”那就要笑死人的！
楼主论点的根基就发生根本性的不稳，怎么反驳人家？还是恶补下知识再说吧！

显示全部楼层 · 发表于 2013-2-21 15:57:37

别忘了功能壳

壳也可以作出病毒行为~

[讨论] 关于“ 试试你的杀毒软件的引擎是不是真的可以正确扫描~”一贴的问题

评分