由样本区的激烈争论引起的深思——杀软在报壳和脱壳之间如何权衡？

SONGBOWEN

我在样本区发了一个文件，是XP的记事本，经过了木马、病毒常用的免杀处理，被杀软认为是病毒，引发了激烈的讨论。相关信息如下：

这不算误报啦，因为你加了变态壳。

那么，明年微软出一个新系统工具，只有正版用户才可以安装并使用，为了避免被反编译，加了一个（或几个）类似的壳，卡巴斯基会怎么做？

当一种壳经常被黑客用来给木马做免杀，而不会被正常的软件所用的时候杀毒一般都会将那个壳归为恶意压缩代码。
另外，微软是不会给自己的软件加壳的。如同你所想的，如果微软会给自己的软件加壳的话，那么为了防止其他的使用了一段病毒技术所使用的代码，你说卡巴报还是不报呢？

本来么，这个特征码。。。。。。。。。。。

有些杀软为提高检出率，相应的误报率不可避免的会增加。使用这种方法提高检出率个人认为不可取。

[quote]不光使用北斗壳，还有其他的东西呢，像MaskPE、FSG2.0、超级加花器等……
NS是北斗4.1破解版的。

加了这么多啊？如果认为加了这么多的东西都是正常的，那这个杀软太没判断力了。
哪个正常文件会这样做啊？典型的恶意行为，杀软报是基于对用户的保护，我认为没错，至少用户会更安全，个人认为这又这是杀软对文件的行为判断，而不是特征码，所以报的杀软不会认为是误报，如果认为是误报，就必须修改程序对文件的行为判断方式来进行排除。如果是单加一层壳杀软报的话就说不过去了，但一些加密封包的体积大的文件某些杀软也还是会报。正常文件没有这种行为或极少有这种行为，杀软基于这点做出判断也无可厚非。[/quote]

这也还不只是为误报找借口
难道要根据杀软的标准来判断正常和不正常了？笑话，需要的是杀软来辨认正常和有害程序，而不是软件作家根据杀软的标准来编写软件
报了无毒文件就是误报，就只有这么简单，没什么好多狡辩的

举个可能不恰当的例子：假如有个人故意拿把刀子在大街上乱挥（当然他只是做做样子，实际并没有伤到任何人），警察发现后你说要不要制止他？
当带回警局后肯定会发现其实不是坏人，只是开玩笑而已，当然教育一番就放了。
那以后警察再在大街上发现有人在乱挥刀子，可并没有伤到人，那警察是不是会因为上次抓的人并不是真的坏人而认为这个人也是在开玩笑而不去管了呢？
杀软并不单纯依靠特征码，基于一些恶意行为做出判断不会损害用户，但如果太过就不好了，比如警察看见有人拿把水果刀在削水果就把他抓回警局就说不过去了！
只是说出一些自己的个人看法，并不针对任何人和任何杀软，所以谈不上是狡辩吧~

嗯，也不无道理！
不过，不应该直接枪毙吧？
卡巴扫描出来以后，就把它杀掉了，等于说抓到一个拿着刀子在大街上乱挥的人，就直接枪毙了……

但如果非要装成凶神恶煞的样子在警察面前晃悠，让警察难办啊！

问题是：加壳就等于拿刀子在大街上乱舞？

加壳是文件特征，和程序行为毫不相干，难道只看壳就能断定文件行为？只看人相就能断定是拿刀子在大街上乱挥的疯汉？
你的例子的确举得不恰当，就好像看见回教国家公民（特征）就马上断定一定是极端恐怖份子（行为）

假如政府明确规定不能拿刀在大街上乱挥，这是恶意行为，现在是紧急状态，任何违反的人都可以直接毙了，但非要有人往枪口上撞那也没办法。

问题是如果是杀软的话，那杀软本身既是政府也是警察了
什么叫做恶意，可疑都全靠厂商的标准了
到底是杀软听我们的，还是我们听杀软的？

[ 本帖最后由 SONGBOWEN 于 2007-11-22 10:08 编辑 ]

SONGBOWEN

大家积极参与啊！！！
发表一下各自的看法吗！

saga3721

没有不报壳的杀软

hj5abc

掐架的人中有没有 solcroft ?  

只要误报能低 ,它爱报什么壳就报什么壳去 ;否则 , 滚 .
报X风雨期已过 ,不适合再提 ,飘走 ....

sam.to

我认为不应报,因为执行这些文件不会对系统有任何伤害。

googlehack

报壳本身不是坏事，但一有壳就说是病毒不合适

SONGBOWEN

原帖由 hj5abc 于 2007-11-21 22:38 发表
掐架的人中有没有 solcroft ?  

只要误报能低 ,它爱报什么壳就报什么壳去 ;否则 , 滚 .
报X风雨期已过 ,不适合再提 ,飘走 ....

貌似有的……
而且讨论得很凶啊……
原帖地址：http://bbs.kafan.cn/viewthread.php?tid=159660
自己去看看吧～

SONGBOWEN

原帖由 googlehack 于 2007-11-21 23:24 发表
报壳本身不是坏事

我可不这么认为，初级用户没有分辨能力，见到杀软报警就会删除相应的文件，所以，一款优秀的杀软应该是脱壳，而不是报壳！
（小红伞除外，可能是为了保证速度，不进行脱壳，所以报壳）

SONGBOWEN

原帖由 kato9096 于 2007-11-21 22:58 发表
我认为不应报,因为执行这些文件不会对系统有任何伤害。

我是支持这种观点的，一个可执行文件，如果对系统没有任何危害，就不应该被杀软揪出来！

風中Dè殘雲

原帖由 googlehack 于 2007-11-21 23:24 发表
但一有壳就说是病毒不合适

确实现在有的软件都加了壳的，为了防止修改程序。