"單一加殼測試"結果公佈!

fishx

报壳就一定是误报?

jpzy

谁说报壳就是误报了？只不过，如果正常文件以为加壳就被当成病毒，那算不算误报啊~？

fishx，我跟你理念不同~！杀软就是用来保护系统安全的，只要能保护安全，用什么方法我都能接受~！而你只看重查杀，也就是文件反病毒~~追求的是查杀率（不知道这查杀率是怎么来的）！

再说一次，我不反对报壳~~~

fishx

牛人,你用的杀软是不需要查杀率的,俺等俗人境界不够,理解不了,见谅见谅!

L.hand

sophos！牛！！

曲中求

杀软应该有比较强的脱壳能力会比较好些，如果脱壳能力不好，会产生大量误报，而这种误报，使一些用户不能正常识别到底是正常程序还是病毒，有些用户有时候认为是误报，从而发生运行中毒情况，在脱不了的壳的情况下，再报壳，像卡巴那样，是比较好的解决方案，一方面大量减低误报，一方面不至于脱不了就挂了，从而带来安全性问题。总之，强脱壳+少报壳是比较完美的解决方案。

伯夷叔齐

原帖由 jpzy 于 2008-2-27 10:51 发表
谁说报壳就是误报了？只不过，如果正常文件以为加壳就被当成病毒，那算不算误报啊~？

fishx，我跟你理念不同~！杀软就是用来保护系统安全的，只要能保护安全，用什么方法我都能接受~！而你只看重查杀，也就是文件 ...

我很赞同你的说法，我也和你同样理念。
同时，我也提出几个质疑：
1、帖子里的这个表，更多的人是看加壳后的正确报病毒名率，而不是正确侦测率，所以表格的加壳后正确侦测率这个名字有点误导嫌疑；
2、大家没有从表格中的加壳后漏杀率去分析，试想，病毒木马放进来了，你再怎么正确的报名率有什么用，毒进来了杀软都发现不了，可不可怕？
3、把正常文件加壳后再来看杀软是否报毒，以反正杀软是否有报壳嫌疑。如果测试后，所谓的“报壳杀软”如果不报告，那么报壳就不成立，我们就真应该思考，是否有新的技术在支撑着这些所谓的“报壳”杀软。

当然，脱壳技术能够赶得上形式，那是最好。凭现在传统杀软脱壳技术，如果我们今天伤身的解决掉不同种类的1000个加壳病毒木马，但今天却生成了10000个新的加壳病毒木马，那么，也许10天后，我们能够解决20000个不同加壳变种，但却产生了80000个无法查杀的加壳变种。这些难道不是现在所有杀软面临的真实的恶劣困境吗？那么这样的技术难道不是一种局限，而需要另外的技术来弥补吗（不是取代，而是互补）?为什么非扭到这个问题不放呢？

我还是举以前的老例子，杀毒和造毒，就如同两军对垒，不是敌死，就是我亡。难道我们歼敌非要局限于一个公平的游戏规则，都用武功，而不准用飞机大炮？当然，你们所谓的“报壳”杀软究竟是盲人凭蛮力举刀乱砍，还是已经跳出武功的局限，使用上了热兵器，那么还得看各位高手的分析了。

再次提醒，关于红伞的“报壳”问题，高手们可以多从正常加壳后进行侦测来反证，请论坛和各位高手尽快做这样的测试。

fishx

有些人认为红伞就是纯报壳,他们认为红伞误报太多,虽然查杀率高也不好用,宁愿杀软查不出来也不愿误报.他们认为误报就会删除而不会隔离.对不住,俺境界不够,见谅!

jpzy

原帖由 fishx 于 2008-2-27 14:23 发表
有些人认为红伞就是纯报壳,他们认为红伞误报太多,虽然查杀率高也不好用,宁愿杀软查不出来也不愿误报.他们认为误报就会删除而不会隔离.对不住,俺境界不够,见谅!

这根本就是理解的问题，貌似很多杀软都报壳，所以，报壳本身没有问题~！只是，如果因为报壳导致了正常文件被报，那就值得商榷了~！如果98%的查杀率伴随着XX%的误报，那谁能受得了？谁也不愿意杀软查不出来，可是谁有愿意杀软把正常的东西杀掉呢？控制误报和提高查杀率一样重要！！举个例子：我用红伞的时候，红伞报过一个word文件，这个word是我自己编辑的，如果说这个文件也是病毒，那么我岂不是有了在word里面用中文就能编写病毒的能力了~！这种误报对于普通人来说没什么，但是如果一个商业用户，他的报表，合同等重要文件无端端被报毒了，而此人刚刚好是个菜鸟，没有判断能力，怎么办？而且，很多菜鸟根本不知道杀软还有隔离区这种事…………再举个例子：我用Avast的时候，之前用卡巴的时候下载的百家讲坛的电子书（exe格式）被报称是trojan，一开始我也很惶恐，毕竟这不同于word，这个文件是下载来的，可是我壮着胆开着沙盘运行了一下，什么事都没有~~试问如果这个文件是某个公司的内部资料呢？

红伞是报壳还是带壳入库，结果在这个测试中很明显~！当然，这种为了保护安全所采用的方法其实无可厚非，何况，红伞也一直在更新自己那庞大的白名单库，尽力控制误报！不过似乎没必要“一白遮百丑”，有了高查杀率就能回避缺点了吗？！

spaceplane

NOD最坏了，只考虑企业利益

jpzy

原帖由 伯夷叔齐 于 2008-2-27 14:06 发表

我很赞同你的说法，我也和你同样理念。
同时，我也提出几个质疑：
1、帖子里的这个表，更多的人是看加壳后的正确报病毒名率，而不是正确侦测率，所以表格的加壳后正确侦测率这个名字有点误导嫌疑；
2、大家没有 ...

1，其实这就是我说的，对于加壳后的文件，应该增加无毒文件的误报测试，这样，综合检出率和误报率就能够得到一个合理的结果了~！目前这样，可能加壳的样本过了某些杀软，而杀软同时会将无害的加壳文件报毒，这里外里差距就大了~！

2，其实不见的是报壳，有些直接就是带壳入库，这样的结果就是无害的文件不会被报，而杀软也不需要脱壳~！其实带壳入库肯定比脱壳容易，只不过病毒库越大，比对病毒的时间越长，扫描的速度就越慢~！

3，其实靠特征码查杀的技术已经越来越力不从心了！行为分析，沙盘，HIPS将会越来越有前途的~！