驳“ 对国内杀软的技术分析”

老驴菜

学习

独孤无语

rsin 发表于 2013-7-19 23:12
不要人云亦云好吧，谁说word杀啊，谁说易语言空白程序杀啊。你是过吗?

之前有很多帖子反映，用易语言写的正常程序就没有一个能过360的，找找帖子吧，我不代劳了。

现在不知道怎样了，情况变好没有。

ljnlyw

我们都不是开发人员 谁也说不准……酱油……

独孤无语

31997 发表于 2013-7-19 21:43
现在出售的电脑好像一般都是64位的吧，内存现在几乎都是4G以上的。单单修改MD5是不可能的，只要触犯规则 ...

“驱动对抗无意义”就算如你所说是金山提出的，无论你支不支持，现在也已经是业内共识。

至于为什么无意义，条件有两条。

1：你的系统是32位的，基本上才能有对抗条件；
2：需要驱动对抗的目的都是：明确的强留在用户机器上面；

不知道你是否听说过“CNNIC上网助手”，真正的对抗（或许是唯一一场）就出现在该软件和ARK工具之间。
后果相当严重，没有得益方。病毒作者们也看出来所谓的对抗没有什么意义，基本上销声匿迹（不排除有一小撮不以盈利为目的的疯子去编写的）。厂商们旁观那次对抗，都不敢太深入的研究这类技术，所以基本上自保都很弱，因为谁也无法预知后果。厂商们不是技术不够，而是不敢做，不敢太深入。

或许最近有这类病毒抬头，但基本上应该只能影响32位，自求多福吧。

292559548

只是看看，不说话

31997

独孤无语 发表于 2013-7-20 13:35
“驱动对抗无意义”就算如你所说是金山提出的，无论你支不支持，现在也已经是业内共识。

至于为什么无 ...

虽然现在的新电脑大多都是64位的，但也有病毒盗用数字签名的情况发生。虽然这样的病毒不算太多，但是一旦这样形式的病毒开始流行，那么驱动对抗还是有优势的，何况中国还有不少的人在用的32位XP，况且XP没有UAC。为了避免我前面在文章中说的重启后病毒运行的情况，加强自保还是有必要的。比如现在一些病毒可以用添加启动项的方法来逃过金山，病毒刚运行被金山拦截，可重启后病毒可以加驱成功运行，具体你可以看vm发的测试贴，驱动对抗是有它的意义所在的。

独孤无语

31997 发表于 2013-7-20 13:54
虽然现在的新电脑大多都是64位的，但也有病毒盗用数字签名的情况发生。虽然这样的病毒不算太多，但是一旦 ...

我之前就说了，哪怕你再支持，VM001再测试，对抗再必要，厂商的自保是很大几率不会提高的，厂商们不愿冒风险去做。在厂商看来能做的都做了的话，再要求他是很难的事情，除非把该病毒和系统的原理搞得一清二楚，做无数次兼容性测试，风险评估，十分有把握才能加强自保。

这相当大的耗费了厂商的内部资源和精力。并且效果可能还不好。金山蓝屏事件可以说是一个代表。

只能寄希望于证书核实和证书吊销能快点，这还是可以轻松无风险做到的。

病毒留在用户机子能干啥，除了搞破坏就是盗个人机密信息了。你见过纯粹搞破坏的么？从厂商的角度来说，肯定是网络层面的对抗来得无风险。碰上能干掉自保的，都出专杀和急救箱。

你以为那些只是紧急状况下使用么？还有一层意思在里面：自保？！呵呵，我是不想提高，用专杀吧！

猛禽斯基

国内的杀软关注下就行了

a908499916

QVM对一些有小动作软件直接查杀

31997

独孤无语 发表于 2013-7-20 14:17
我之前就说了，哪怕你再支持，VM001再测试，对抗再必要，厂商的自保是很大几率不会提高的，厂商们不愿冒风 ...

申请数字签名是很麻烦的，病毒不太可能有自己的签名，只能去盗用正常公司的正常文件的数字签名。正常文件编写的再严密，也会有漏洞，病毒作者可以利用这些漏洞。所以证书核实和证书吊销再快，病毒作者也可以利用正常文件轻松的钻空子，而快速的进行证书核实和证书吊销反而会给正常公司添上不必要的麻烦。现在的破坏性病毒的确很少了，大部分都是木马，若木马重启后加驱再运行，盗取了你的银行卡号和密码，再使用急救箱和专杀也没有用了。所以驱动对抗还是有意义的，即使电脑会发生蓝屏的危险，但总比丢钱好吧。蓝屏可以修复，可丢钱就没办法喽~