由样本区的激烈争论引起的深思——杀软在报壳和脱壳之间如何权衡？

SONGBOWEN

原帖由 風中Dè殘雲 于 2007-11-22 10:57 发表

确实现在有的软件都加了壳的，为了防止修改程序。

为了防止修改程序只是其一，还有的是为了减小体积！

九棒歪打

所以要行为判别

SONGBOWEN

原帖由 九棒歪打 于 2007-11-22 13:34 发表
所以要行为判别

在理！
支持！
确实应该有行为判断，或者HIPS

gmen_pliskin

红伞很明确，报壳的时候名称和报病毒不一样。并且自己可选开不开启发。

凝逸反毒

软件在为了避免被反编译，尽可能在加了一个（或几个）类似的壳的!
那怕被报为病毒,被反编译了那才可怕

凝逸反毒

引用:
假如政府明确规定不能拿刀在大街上乱挥，这是恶意行为，现在是紧急状态，任何违反的人都可以直接毙了，但非要有人往枪口上撞那也没办法。
------
相对之:
假如杀软明确规定软件不能加壳，这是恶意行为，现在是紧急状态，任何违反的人都可以直接删除了，但非要有人往枪口上撞那也没办法。

SONGBOWEN

原帖由 凝逸反毒 于 2007-11-22 14:47 发表
软件在为了避免被反编译，尽可能在加了一个（或几个）类似的壳的!
那怕被报为病毒,被反编译了那才可怕

确实，即便被杀毒软件报为病毒，也不能被反编译！
被反编译，意味着即将被破解，进而意味着合法产权受到侵害！

SONGBOWEN

原帖由 凝逸反毒 于 2007-11-22 14:51 发表
引用:
假如政府明确规定不能拿刀在大街上乱挥，这是恶意行为，现在是紧急状态，任何违反的人都可以直接毙了，但非要有人往枪口上撞那也没办法。
------
相对之:
假如杀软明确规定软件不能加壳，这是恶意行为，现在是紧急状态，任何违反的人都可以直接删除了，但非要有人往枪口上撞那也没办法。

可是，并没有任何明确的声明，说正常软件不可以加壳……

mofunzone

告诉你一个网站，malware listserv
去那上面看看rbot这种一天20+变种的病毒是怎么加壳的
那群专门免杀的人都是加壳高手，一个文件加5层壳太正常了
然后你就会发现不报壳的杀软是多可笑了，特别点名nod32，曾经加themida因为那一段时间rbot都是themida加壳，然后移除走了，现在杀rbot那比率。。
我个人强烈支持报壳，类似antivir和卡巴斯基这种解决速度超快的厂家，特别是对于没有主防的antivir，报壳，是最好的方法，有误报2天解决，自己排除一下很快就ok

scottxzt

不好意思的说句:单纯的依靠扫描特征码的查毒方法显然已经过时了.