不要被别人的眼睛所蒙蔽。

buycard

一个东西好还是不好，往往不是通过正面能看到的，而是需要看到他的背后。
启发式引擎好不好，往往不是通过扫描样本来确定的，非常有趣的是，结论往往恰恰相反，好与不好是通过扫描非样本来判断的。这似乎超出了常人的理解范围。
有时候，当人们把众多注意力放在事物的他认为最重要的某方面时，他可能忽略的，却是他最需要的。
虽然都是“启发”，但内涵不同，就像猩猩和人站在一只狗面前，虽然很像，但并非一样的东西，只是在狗眼中，猩猩和人是一样的。

ps:请勿对号入座，小心坐错位子扎了屁股。




说说我对报壳的看法，报壳，源于不正宗的反病毒厂商，有人说他们理念新，因为新木马变种太快，我说有这样想法的人，幼稚至极，说这样话的人，俗一点说“太年轻，没混过社会”。

报壳，为什么要报壳呢？真正的原因，我通过利益分析法得到的结果，就是“节约”。小公司，又没钱，又没技术，少花钱多办事的理念下，就诞生了以Antivir为代表派的报壳软件，Antivir的报壳水平有多高呢，其实一点也不高，现在有几家小公司的水平实际上已经赶上了Antivir了，而他们比Antivir的报壳“起步”要晚，所以唯独欠缺的是白名单的广泛收集，但他们宁愿收集堆成山的白名单，也不愿意去计划写脱壳引擎。(大量白名单的软件，可信度极低，白名单相当于什么？先天性残疾)

为什么呢？？因为，写报壳引擎+加入白名单=体力活+少许的脑力劳动；写脱壳引擎=脑力活+说不定检测率不如报壳来的更爽。

体力活？对呀，体力活=低工资，小企业没有钱，当然愿意自己的工程师多干体力活啊，招聘员工的时候本科、硕士生也可以大批量“批发”来做“样本工程师”。脑力活干太多的话，工资付不起了，又或者被Symantec/nai挖走了，全世界有几个像“Eugene Kaspersky”、“Dr.Solomon”、“Igor Daniloff”的天才？

用利益分析法来分析，结论很快就得出来了。

Antivir很有Made in China的风格，中国人经常可以干出 “花1块钱可以 造出 性能 和欧美10块钱一样的东西”.

从一个侧面来看，Trend为什么专搞中国区病毒码+报壳引擎？为什么不在他的全世界产品中都采用中国区病毒码？美国人就不会感染中国木马病毒？------答案很简单，对付中国的样本，要想通杀，必须具备极其变态的脱壳引擎，但要写这样的引擎，Trend现在根本做不到，即便做到了，以现在安全界普遍的的技术程度，个人PC的性能也根本负担不起。所以，干脆使出“杀手锏”，开中国区实验室，大量收集“壳”、“白名单”，专门杀壳，Packgen-0xx，干脆报壳，比Antivir的 Heur更诚实。杀壳的成本是多少，有人计算过吗？时间成本，1年时间内提升检测率“百分之几十”肯定有了；资金成本，一个中国区实验室养活的员工的工资总共能有多少？！恐怕Trend中国每年的利润都足以养活了。Trend Mirco只有真的“疯”了才会给盗版大国来设计“脱壳引擎”，他们想都不敢想。
想要知道哪些软件属于“体力活”的产物，把加了某壳的正常文件扔到多引擎，经常报Heur、Crypted、Hupigon、Packed、Graybird、Mal/EncPk、Trojan-downloader.xxxx等等类似的就非他们莫属。
“壳、灰鸽子、Trojan-downloader”已经成为中国的代名词，对付中国的木马病毒，“删掉文件就可以了！我们相信这些用户会有备份,如果他们没备份，那也是他们自己的责任””甚至Viking（威金）、熊猫烧香感染的文件都不需要清除，管他什么感染的，一律删掉处理…………中国的“盗版”、“免费”用户要是发贴、Email询问，就告诉他们“文件即便修复了，也可能无法运行，即便可以运行，鬼知道哪天也可能出错，而且，被感染过的系统，就算修复了，你还敢信任吗？所以最好的办法就是删光,通通删掉！”-->这2段名言出自红伞Antivir的启发式工程师之口，这也就是“体力活”软件们最擅长做的事情。先不管他的“删光”政策是对是错，从其工程师理解的“最客观的角度看”，要把用户当作“无能”的，“什么都不会的”，系统感染了，删掉被感染的文件，用户幼小单纯的心灵也很恐慌，也觉得这个“杀光”后的系统是不安全的了，所以用户需要提前买一套Ghost或者Acronis来做一下系统备份（变相推销备份软件 ）；但是，从技术上讲，曾被感染过，但杀光毒的系统是不安全的吗？不是的，只要用户的系统补丁齐全，杀毒软件工作正常，内部的木马或是病毒被消灭了，那这个系统和重新安装的打了补丁的微软系统的安全程度相当，世界上没有绝对干净、安全的系统，相对被感染的系统，修复过的系统仍然是安全的，木马不再工作、病毒不再感染，有什么理由强迫用户重装系统？回过头来说，有什么理由不尽力修复哪怕是1%几率可以修复的exe文件？·····不得不敬佩干“体力活”的工程师的思维模式，他完全配的上他的工作。



在西方，大多数人用的都是正版软件，这些软件不需要加变态壳、盗版壳，不需要加花，这样的话，区别木马病毒和正常文件用“壳”来区别是绝对可行的。而如果你住在中国，那你不得不面对你的电脑里面起码30%以上的*程序*都是加壳的，那依靠壳来判断，怎么可能判断的准确？



总结一下，报壳的软件，检测率留给了世界，误报留给了第三世界国家。那些身居国外，力挺报壳软件的人们，请你们还发展中国家一份宁静吧。

说完软件技术方面的，说说个“人爱好的问题”。为什么有些超级Fans热衷一些软件？甚至我也非常喜爱某些报壳软件，那你要问我为什么还要成天批判报壳软件。这需要问吗？“爱一个人需要理由吗？~~需要吗？”

他喜欢报壳软件，是他的爱好。人都是很矛盾的，理性和感性交融在一起的。人不是机器人，人是有感情的。就像看足球，中国足球那么烂，为什么还有人喜欢？火箭队6连败，为什么还有人喜欢，为之掉泪？因为他喜欢，喜欢是不需要理由的，哪怕他是最差的。

但是，但是，别人喜欢不需要理由，那你喜欢这个软件也不需要理由吗，你喜欢上这个软件难道没有别人“推荐”、“好评”、“经验”的劝导、诱惑、蛊惑吗？？？

我写这个文章的目的，绝对不是给所谓的“高手”们上课，而是给所谓的“菜鸟”们敲响一个警钟，不要把别人的“经验”替换到你的大脑中，别人的不需要理由的“爱”某些软件，绝对不是你放弃自我，不需要理由的爱一些软件的“原因”。每个人都有追寻“自由”的资格，请你自己不要放弃，做一个看的清，想的白的真正的有点个性的你自己吧。

[ 本帖最后由 buycard 于 2007-12-3 02:41 编辑 ]

紫天

值得一看，有些道理，虽然我是菜鸟

嘁。不稀罕~

有多少正常程序加壳玩？

不要说人和猩猩了，同样是人，狗为什么能分辨主人和陌生人呢，因为人和人有差异，就算是双胞胎也一样，所以狗只需要气味来辨别就够了，而不需要掌握DNA比对的技术来鉴别主人。。。
换而言之，狗用鼻子，人用眼睛，蝙蝠用声波，方式不同，目的一样，楼主太片面了。。。
还有，楼主说的大厂技术，很多可都是收购没钱的小厂得来的，还有就是技术和厂的大小无关，发达国家的杀软也报壳的。。。

buycard

原帖由 abeyl 于 2007-12-3 02:33 发表
有多少正常程序加壳玩？

不要说人和猩猩了，同样是人，狗为什么能分辨主人和陌生人呢，因为人和人有差异，就算是双胞胎也一样，所以狗只需要气味来辨别就够了，而不需要掌握DNA比对的技术来鉴别主人。。。
换而言 ...

你能举出多少正常非Windows程序不加壳的？加壳太普遍了，压缩体积、防盗版、防别人修改，特别在中国，“优化版”、“DIY版”、“绿色版”等等等等东西太多了，这些东西99%都加了变态壳。

PS.我没说狗分辨“主人“和猩猩，你看清楚了再回…………
另外，”脑力劳动“的软件，报壳是有一定限度的，并不是见到变态壳就报，而是有确信把握程序基本是威胁的情况下才会报。
我并没有说脑力劳动软件 就没有报壳技术，在其脱壳引擎无效的情况下，对一些壳也会报，这在以前是没有的，近1年才出现，包括卡巴和NOD32诺顿咖啡等等软件都开始有限制的报壳，风气已经起来了，要不了多久，现在某些报壳软件的领先优势就会被淹没，精彩还在后面。

[ 本帖最后由 buycard 于 2007-12-3 02:51 编辑 ]

mofunzone

真是可笑的结论，symantec的bloodhound，trend的intertrap，mcafee的mew malware这几个有几个和壳没关系的，而且我可以确定的告诉你，eset作为一个厂家自然也有，不过是因为虚拟机的原因，你们自己看不出来罢了，我可以很明确的告诉你们，nod32的generic trojan和nuwar.gen这两个是100%有壳的基因在里面的，我甚至不怀疑viking也是有的，但是因为viking比较高危，我实在没兴趣去看而已
不过作为一个普通的用户，我实在提不起兴趣看软件是通过什么方式识别出来的，是病毒就杀，不是病毒就不杀，最简单的道理，既然nod32识别不出病毒，让人中毒，那么他是垃圾就是铁定的，antivir和avast的特征码不管是怎么定的，杀出来了，那就是好东西，黑猫白猫抓到老鼠就是好猫，你认为你给一个白痴用户装上av之后，他会关心这个av是什么原理？我们追求的只是高效和高识别，相信很多人都会处理误报，但是中毒之后我怕是没几个人会处理的
p.s 我不得不说，nod32成也虚拟机，败也虚拟机，av-comparative和vb100%的测试样本很可以看出是无壳的，不然nod32不会有这速度，av-test因为没有速度报告，不得而知，不过av-test中nod32居然杀不过symantec，这是最搞笑的，这里有人有胆子说symanetc误报高的吗？为什么nod32在有的测试例如vb的成绩那么好，到其他的就不行了？想想就明白了，因为nod32的技术我看的已经很彻底了，对于某些测试的应试专用而已

mofunzone

我个人用过深度，番茄，juju猫的系统，antivir从来没有说误报过正常的系统文件过
现在跑vista也跑了n个版本了，也给人装了n个版本的vista，lenovo，dell，sony等等的，基本网上那21in1的我都装了一遍，也没看到什么误报

buycard

原帖由 mofunzone 于 2007-12-3 02:49 发表
真是可笑的结论，symantec的bloodhound，trend的intertrap，mcafee的mew malware这几个有几个和壳没关系的，而且我可以确定的告诉你，eset作为一个厂家自然也有，不过是因为虚拟机的原因，你们自己看不出来罢了，我可 ...

我有说我没看出来吗？我这里整理干净的10G多的中国区样本，我能不知道哪家报壳不报壳吗？请自重吧。

我很尊重你的看法，但你的看法只是你mofunzone的看法，我可以直接告诉你我根本不认同，你就无需解释了。

PS.以前你手脱壳后不修复IAT，希望这样的问题不要出现，以免继续影响你在我心中的形象了。

[ 本帖最后由 buycard 于 2007-12-3 02:57 编辑 ]

mofunzone

那么很好，我可以明确的告诉你，去收集一些国外的样本吧，或者去malware listserv看一下除了他们为了验证样本有效性的卡巴斯基之外，在那里除了ikarus和webgate这两个高误报换高查杀的软件，能排名第二的是谁
而且你以为antivir的crypt.nspm还有ulpm这些只是简单的包壳？
太搞笑了，你以为报壳就可以简单的通过添加壳的特征来完成？
为什么每次antivir升级的时候还要不断更新这些基因？按照你的道理，报壳只需要一个壳的基因吧
但是你错了，壳是死的，人是活的，我可以免杀壳，而且有上万种的方法免杀，viking和台湾yahoo家族的病毒antivir全部都是nspm，为什么其他的厂家就会全灭？
antivir的crypt现在已经都是结构分析了，而不只是壳特征那么简单了
果然和只收集病毒的人说话很没意思，10g的病毒很nb吗？
问问样本的la版吧，看他有几g的病毒
况且只是收集病毒，而不自己做的，哪会真正理解这些东西，你们真的看得穿这中间的区别吗？

mofunzone

我不修复iat是为了看各个杀毒软件特征码的定位而已，不行你自己手脱一个鸽子去看看，nod32的特征码都道是在哪里，为什么asprotect加密文件头nod32就飞

saga3721

用尽脑力劳动出来的花拳绣腿连街上的小流氓都打不过。因为功夫不是靠想出来的，是靠练出来的。按理这是任何有点脑力的人都应该想得到的简单道理，除非那人只能想象出一套重看不中用的花拳绣腿，根本是软弱得手无缚鸡之力。然而宁可被见一次打一次也不肯好好锻炼身体和基础，仍旧天天陶醉于自己的精妙无比的挨揍拳法之中。
托脑力工作者的福，我感觉自己已经来到了美洲欧洲了，因为我下载的应用软件红伞竟然没有报过。难道霏凡，绿软，华军，等等等等这么多网站也一块儿升级为国外网站了？这脑力确实了不得，福被万方啊！
还有，最精彩的就是狗看人和猩猩的比喻了。以我这个脑力普通的人见到的，狗是能辨识主人和其他人和动物的，许是主人那儿有骨头吃吧。所以朝猩猩吠几声咬两口倒是毫不奇怪，对主人是不会的。因此要是有人认为狗分不清人和猩猩那可连狗的脑力都不如了。