在红伞论坛看到的关于磁碟机挂掉红伞的高见！

曲中求

原帖由 cy6266812 于 2008-2-28 15:07 发表
NOD如果把病毒库加大，入库及时，应该不错。

可惜它不这样做，唉！

呵呵，NOD的病毒库的确在慢慢变大，入库及不及时问题很难说清楚。从更新频率来看，NOD也并不算少。每天3——6次。并且N 3为了方便用户上报，将其右键集成了上报功能菜单，上报后会自动回复是否上报成功，可见，ESET还是重视上报的。对于盗号木马的查杀，NOD还是不错的。

从04年开始用红伞，到06年开始用NOD，发现一个共同点：就是两者都是从很弱开始变强……而且感觉很明显。

红伞一直用到V7刚刚更新，发现查杀能力大大增强，之前被盗QQ，，而且频繁中毒，后用卡5杀出11个木马……，然而，今天的红伞已判若两人，不可同日而语。

NOD 06年上半年用时也很弱，连QQ正常木马都无法识别（咖啡也一样）……，样本区的表现也看到了，那个时候查杀能力并不行，这种情况一直到去年才发现有些改观，到现在我觉得是有了质的改变。

所以说，看问题应该是发展的眼光去看的，弱小的越国并不会永远弱小，从样本区的表现来看，NOD的查杀率在进一步的提高，而且N 3在N2的基础上目前进一步加强了监控，已经采用规则来了，马上HIPS模块一加入，个人还是很看好NOD，无论是查杀还是监控都在向前迈进！

3月份的红伞也着实让人期待，同是新界面新引擎还有诸多细节的改进，正式版一出，一定不容错过~~~

两个好东西，恰好都有正版的，可以安心测试玩啦~~~~~

PS：后天可能要去修一台机器，据描述来看可能EXE全部感染，如果真如此，看来有了感染样本来重测清除能力了，如果哪位有被感染的正常程序，还望多多提供一些~谢谢！

aa11qq26

用两个杀软互补吧

饼爱饼

原帖由 spaceplane 于 2008-2-28 22:10 发表
最好的是FS

没有最好只有更好

xiaojinglf

我认为不论是扫描还是实施监控，都无需解开壳查。太浪费时间了。
只要病毒解开运行就报，是个好策略。效率高。
赞同avira的做法。
开启生成启发后，nod的表现让人难以忍受。

capsshift

原帖由 xiaojinglf 于 2008-2-29 07:29 发表
我认为不论是扫描还是实施监控，都无需解开壳查。太浪费时间了。
只要病毒解开运行就报，是个好策略。效率高。
赞同avira的做法。
开启生成启发后，nod的表现让人难以忍受。

生成物，红伞就是要报。

fishx

原帖由 xiaojinglf 于 2008-2-29 07:29 发表
我认为不论是扫描还是实施监控，都无需解开壳查。太浪费时间了。
只要病毒解开运行就报，是个好策略。效率高。
赞同avira的做法。
开启生成启发后，nod的表现让人难以忍受。

NOD有本事都脱掉壳吗

曲中求

原帖由 xiaojinglf 于 2008-2-29 07:29 发表
我认为不论是扫描还是实施监控，都无需解开壳查。太浪费时间了。
只要病毒解开运行就报，是个好策略。效率高。
赞同avira的做法。
开启生成启发后，nod的表现让人难以忍受。

晓月吧，呵呵~你好啊！

脱壳与报壳是长久争论的话题之一了，呵呵~既然这里是论坛，那么，我也在这里谈谈自己肤浅的认识，大家可以静心交流交流。互相学习我相信互有裨益。

脱壳和脱壳的好处，报壳有报壳的好处，这个是大家看得见的，而且两者各有利弊。

毫无疑问，脱壳的好处就在于减少误报，能相对比较正确区分正常被加壳的软件和病毒，脱壳强的话，不管你怎么加，只要能脱得掉，其结果就像有人赞赏卡巴那样的：是你是你就是你~呵呵！，除了可以查杀变种之外，还有利于控制病毒库数量，从而尽量保持扫描速度，当然，这个是次要上的细节，但有时候你也不能说它不重要。弊端也很明显，正如你所说，脱壳时卡CPU，如果一个文件夹里有很多加壳的程序，打开文件夹时，由于脱壳而使程序打开比较慢，不过NOD 3已经解决了这个问题，只对新建和修改的程序进行高启发，默认本地文件监控关闭了高启发，从而在一定程度上解决了这个问题，把脱壳的整个平面的点加以缩小了，也就是说，现在只有解压时可能会卡一下下，而且解压卡要满足一下前提条件：首先，里面压缩包里的必须是exe程序，而且还要是加过壳的，没有这个条件的，不会出现停顿现象。也就是说，使卡的机率又进一步的降低。这也是为什么N3比N2运行起来会更为流畅的原因。可以说，ESET看到了虚拟脱壳的严重弊端，已经做出了进一步的改进。我个人认为，ESET在这个方面的努力的确是值得肯定的，因为它满足了90%的非误报率+90%的流畅性这个公式，而且对于脱不掉的壳，卡巴和NOD有时都会出现报壳现象，像强悍脱壳的杀软都脱不掉的东西，怎么看都有严重怀疑性，我觉得这个可以弥补因为脱不了壳而挂掉的现象。

除了卡巴和NOD这样的主张脱壳降低误报的厂商之外，也有一些厂商主要报壳的，比如大家用的红伞，以及国内的费尔，报壳的好处就是进一步加大侦查率，使其查杀率最大化，而且丝毫不会出现卡机现象，这个是最大的优点。但缺点也很明显，报壳会把正常加壳软件和病毒一样报，从而需要用户作出判断，要让用户判断是误报还是非误报，这个是一个方面。另一个方面的负面效应就是报壳会带来一定的误报率，如果是企业使用，是一个很大的忌讳！从而还会出现一个误报机率问题，就是说，要根据使用环境所使用的软件会出现不一致的误报机率，就像有些人用红伞在本机上用误报为0，而有些朋友则无法忍受红伞的误报，因为他的机子里太多的加过壳的注册机之类的，你要让一个个去排除，一个个去判断是否是正常程序还是病毒，我想很多人没有这个时间。当然，报壳方面，红伞的报壳方式也出现了转机，也有了明显的改进，为什么这么说？也就是说，红伞现在的报壳不是我们以前说的什么东西加一个壳就报，不是的，不是纯粹的100%的报壳，这个就涉及到红伞的结构分析问题，红伞通过不断的更新引擎，不断在调整在程序结构上的分析，从而进一步加大侦查率的同时，把误报率降到最低。

从而我们可以看到一点，主张脱壳的厂商，已经开始优化监控，从而开始进一步向流畅性迈进。而主张报壳的厂商，改通过优化侦查方式，进一步降低误报。仔细看一下，它们的发展双方都在向各自的对立面迈进。最后，我想应该会殊途同归。也就是保持最大的侦查率、流畅性和控制最低的误报率为最终目的。其最终我相信，就是这么一个结果。所不同的只是方式而已。

[ 本帖最后由 曲中求 于 2008-2-29 11:57 编辑 ]

lihaohoney

搞笑

伯夷叔齐

原帖由 曲中求 于 2008-2-29 11:55 发表

晓月吧，呵呵~你好啊！

脱壳与报壳是长久争论的话题之一了，呵呵~既然这里是论坛，那么，我也在这里谈谈自己肤浅的认识，大家可以静心交流交流。互相学习我相信互有裨益。

脱壳和脱壳的好处，报壳有报 ...

我有一个疑问就是，红伞真能从壳外进行文件结构分析吗？很多人说法是，如果不脱壳，分析就根本无从谈起。。。。。我仅仅从挖开本质的角度提这个问题。。。谢谢曲长老的指教。

曲中求

原帖由 伯夷叔齐 于 2008-2-29 14:42 发表


我有一个疑问就是，红伞真能从壳外进行文件结构分析吗？很多人说法是，如果不脱壳，分析就根本无从谈起。。。。。我仅仅从挖开本质的角度提这个问题。。。谢谢曲长老的指教。

你好，很高兴能和你交流~指教不敢当，互相学习！

我个人是这样看这个问题的，对于加过壳的文件，如果红伞是启发报，报的典型之一就是：HEUR/Crypted。crypted的解释大概就是加密的意思。，一个正常的程序文件，必然有一个程序结构，一旦被加密，其程序结构就会被改变，形成新crypt后的结构。而对于这种结构的探测，antivir使用了AHeAD技术进行分析，可以从这个意义上来说，AHeAD就是红伞探测其加壳过后的程序是否是害程序的主要方式，那么，这样一来就有一个判断的标准，也就是，正常程序加壳和木马加壳有一个程序结构的区别问题，AHeAD是否在报毒和误报问题上能到一个比较平衡点上，就在这个结构点的判断了。所以说，我个人认为，现在的报壳相比以前的报壳最大的不同在于，以前的报壳相对现在可能比较机械，但现在的报壳也是有一定技术的，并非一些人认为没有丝毫技术深度而言。

个人见解，不一定是正确的。还请见谅~！

[ 本帖最后由 曲中求 于 2008-2-29 15:35 编辑 ]