一个单独的测试，对于china-killer所谓的引擎‘解壳误报论’的小疑惑

显示全部楼层 · 发表于 2013-2-24 03:18:45

本帖最后由【乱】于 2013-2-24 05:16 编辑

随便单独测试了下我的毒霸
计算机加壳那贴的样本，我发现我的金山杀了5个，启发带了一个
然而被认为危害的样本双击不报
http://bbs.kafan.cn/thread-1471826-1-1.html

然后虽然另外一个解壳帖http://bbs.kafan.cn/thread-1471315-1-1.html

5楼列出国产几个杀软中金山算优异

所以对于我的想法是
1-加壳就能当病毒？说法极端了点吧？

显然不是，比如拿误报最高的360来说，在23个文件中只杀了13个，显然是否因为加壳的特殊性引发的查杀机制呢？而不是一棒全打死
在那所谓解壳能力最差的瑞星却只误报了两个；那么应该说瑞星因为解掉了2个才报的还是因为没解才报的呢？显然说不清。

扫描对象数量

每个杀软的显示数量都不一样，比如一个杀软按照正常的数量显示而某些杀软会按照另外一种数量计算，全盘扫描显示数量有些杀软比其他杀软多了2-3倍但没发现病毒，为什么？不得知~~~~看下面案例

右键扫描毒霸认为‘威胁’文件和‘安全’文件但对象都是1；那这些文件他又有没有解开呢？难道杀软一定要按照china-killer23*2 =46 的数量显示吗？或者可能是否在某些地方杀软为了‘亲民’刻意将扫描数量搞的易懂一点？

比如某楼的卡巴显示53个...火绒官人应该去教教卡巴怎么纠正数量囧~~~

反之比如卡巴和MSE都是0误报，我也可以极端的说他们根本没解开所以不知道里面是什么

；貌似说误报就不算杀软的说法比我极端，国产全部可以不做杀软了~外国也基本都掉坑了~~~

小总结：

几年前杀毒软件靠的都是病毒库+解壳吧，但效益并不大；面对很多免杀手段一般靠主防，在样本原形必露后进行拦截（貌似主防也能被免....）
而近年国产杀软在查杀上做很多功夫，类似‘异类’查杀吧，比如特别敏感的数字，自己修改的桌面因为一些地方存在被修改所以也会报毒（N年前了~~），或者一个link文件转向一个未知网站也可能会被查杀。更或者随便把一个文件改的异类一点就被查杀了，这是杀毒软件在查杀上提高自己对于未知病毒的能力

像很多绿色软件小工具等很多都会被报毒，特别来自外国杀软该说他们解壳好或差吗？

然后我更加好奇
火绒作者是前瑞星CTO（首席技术官）在瑞星10年，那么在瑞星（除了V16外）应该参与很多；然而瑞星给大伙的印象是查杀并不高偏重整体防御；这又是为什么？甚至我到开始好奇，说V16解壳差那瑞星什么样？我就不实验了留给瑞星粉

我个人觉的火绒做为一个新秀产品的确实不错的甚至有些地方可以和老牌对比，但在一些东西上说的很‘极端’吧~~~

号外
个人觉的测试意义并不大，比如有些样本经过提供者操作说这个样本应该报，然而你双击后发现要么弹出个错误或根本没行为的要报吗？提供者说需要环境~~（弄好环境再测吧~）反之提供者说不该报，然而某样本虽然没危害但是有行为的~~
所以报不报就提供者一句话的事吧~~~~~~什么标准报毒不报毒估计也不是一个人或一家企业公司说的算的，各家对于未知病毒的认知和理解以及解决方式也不同；当然要盗你帐号了估计都要报

不过文件特征行为神马以及免杀手段都很广阔的吧

然而还要说的是，这种如果无法正常的区分正常和危险样本环境里，无疑全部报毒的杀软都是最耀眼的因为盲目的追求查杀率高的杀软爱好者实在太多了

显示全部楼层 · 发表于 2013-2-24 09:34:11

"所以对于我的想法是
1-加壳就能当病毒？说法极端了点吧？"

LZ恰恰理解反了，那帖子的意思是“亲爱的杀软们，咱不能加了壳就报病毒啊！！！

”

显示全部楼层 · 发表于 2013-2-24 10:42:50

正是因为加壳不能当病毒，所以误报不应该

显示全部楼层 · 发表于 2013-2-24 10:53:40

瑞星粉表示china killer说得很对，不能直接入库，基础解码，解壳还是要的~~~

显示全部楼层 · 发表于 2013-2-24 16:13:14

本帖最后由【乱】于 2013-2-24 16:15 编辑

vardyh 发表于 2013-2-24 09:34
"所以对于我的想法是
1-加壳就能当病毒？说法极端了点吧？"

我的意思是相关杀软杀软并不是加壳就全部报毒啊
所以加壳外还应该有引发其他机制问题

显示全部楼层 · 发表于 2013-2-24 16:36:13

vardyh 发表于 2013-2-24 09:34
"所以对于我的想法是
1-加壳就能当病毒？说法极端了点吧？"

如果是加多层非常见壳呢？

加一层壳可以理解，加多层异形壳判毒。

从某方面上来说，这个逻辑还是可以理解的。

正常的软件不会这么不正常。

显示全部楼层 · 发表于 2013-2-24 16:57:52

skycai 发表于 2013-2-24 16:36
如果是加多层非常见壳呢？

加一层壳可以理解，加多层异形壳判毒。

楼主！

1.计算器加了壳：金山说是“后门”~~~，看对病毒的描述吧~~

2.这个误报，其实主要是取特征的问题，很可能是之前有个后门病毒入库时，没有脱壳，特征取在壳代码上了。

显示全部楼层 · 发表于 2013-2-24 16:59:24

不管解不解开都不是毒，为什么要报毒呢？

显示全部楼层 · 发表于 2013-2-24 17:00:25

china_killer 发表于 2013-2-24 16:57
楼主！

1.计算器加了壳：金山说是“后门”~~~，看对病毒的描述吧~~

侬回错了。。。。

说实话，这个描述看看而已就算了。老觉得做这个是吃力不讨好。
包括火绒。。。。
毕竟要利用简单的文字描述众多的病毒类型，很难。

显示全部楼层 · 发表于 2013-2-24 17:08:37

个人觉得：
1.从用户的角度，不管你脱不脱，这个不是毒，不应该报毒。
2.火绒官人说的，不具备基本脱壳能力，会加大病毒库数量，降低效率，这是正确的。
3.不是说碰到多么变态的加壳都要去脱壳，而应该解决脱不了、杀毒引擎识别不了的情况下，其他的防御、修复方式。

目前火绒至少有3层防护病毒的方式，文件反病毒、未知病毒拦截（行为拦截）、内核加固，虽然缺少网页反病毒或者网盾类的，但相较其他的安全产品来说体系上是比较全面的。
只是开发的时间尚短，UI 、杀毒引擎、行为拦截引擎、内核加固都还需要时间去进化。

[讨论] 一个单独的测试，对于china-killer所谓的引擎‘解壳误报论’的小疑惑

本帖子中包含更多资源

本帖子中包含更多资源