MD5以及签名对查杀恶意软件的帮助有多大？

yiyinaonao

大家都知道，如果对程序中间做一点稍微的改变，其生成的MD5及签名就会和以前的完全不同，但是现在的杀毒软件部分上都很依赖这种查杀方式，很明显这种查杀方式的识别能力非常有限，但是从杀毒软件的表现来看，效果还可以，所以想问一下，杀毒软件在MD5和签名上的依赖到底有多少？

hwl573452046

查杀被过，还有主防

修改MD5+加数字签名 曾经可以轻易免杀不少安软的扫描

倾恋三生

MD5？貌似大部分是杀软都是靠特征库的吧。

晓de朱雀_鼬

现在很多杀软都依靠特征行为分析什么的，MD5这种太容易改变的东西，过度依赖的话，应该没法成为出色的杀软吧

XywCloud

“基于MD5的查杀”这种玩意现在的确还在使用
但是已经不是主要手段了
还有特征码、启发
当然，不要忘记行为防御，查杀不了，还可以防御行为。

进击滴213

XywCloud 发表于 2014-3-10 11:04
“基于MD5的查杀”这种玩意现在的确还在使用
但是已经不是主要手段了
还有特征码、启发

那常规引擎指的是怎么样的，例如BD和红伞什么的，具体特点优势

XywCloud

进击滴213 发表于 2014-3-10 11:18
那常规引擎指的是怎么样的，例如BD和红伞什么的，具体特点优势

鬼才知道360从BD和红伞那里购买的引擎的具体信息。（想必您用的是360）

进击滴213

XywCloud 发表于 2014-3-10 11:40
鬼才知道360从BD和红伞那里购买的引擎的具体信息。（想必您用的是360）

不是，现在EAV+SEP墙

XywCloud

进击滴213 发表于 2014-3-10 11:48
不是，现在EAV+SEP墙

呃。。。那你怎么跟360杀毒里面对BD和红伞引擎的描述一样：“常规引擎”
BD、小红伞这类引擎一般都是启发+特征码+MD5结合

√×√×√√×

囧，MD5的特点在于云端快速入库，又不是用来防免杀，对付免杀有高启发、主防、虚拟引擎这类的
普通特征码效率太差而且对于免杀并没有太大用处，熟手定位一个普通特征再免杀根本不要太快，你计算一个MD5才需要多少时间，加一个特征又需要多少时间，有时候你特征还没加完呢，这边就已经变种上百次了，同时还要顾虑到加这个特征可能带来的误杀，海量的特征库不仅占地大，失效也快。唯一的优势也就只有在断网的时候才能发挥发挥了 囧囧囧