不要被别人的眼睛所蒙蔽

abin5288

一个东西好还是不好，往往不是通过正面能看到的，而是需要看到他的背后。
启发式引擎好不好，往往不是通过扫描样本来确定的，非常有趣的是，结论往往恰恰相反，好与不好是通过扫描非样本来判断的。这似乎超出了常人的理解范围。
有时候，当人们把众多注意力放在事物的他认为最重要的某方面时，他可能忽略的，却是他最需要的。
虽然都是“启发”，但内涵不同，就像猩猩和人站在一只狗面前，虽然很像，但并非一样的东西，只是在狗眼中，猩猩和人是一样的。

ps:请勿对号入座，小心坐错位子扎了屁股。

说说我对报壳的看法，报壳，源于不正宗的反病毒厂商，有人说他们理念新，因为新木马变种太快，我说有这样想法的人，幼稚至极，说这样话的人，俗一点说“太年轻，没混过社会”。

报壳，为什么要报壳呢？真正的原因，我通过利益分析法得到的结果，就是“节约”。小公司，又没钱，又没技术，少花钱多办事的理念下，就诞生了以Antivir为代表派的报壳软件，Antivir的报壳水平有多高呢，其实一点也不高，现在有几家小公司的水平实际上已经赶上了Antivir了，而他们比Antivir的报壳“起步”要晚，所以唯独欠缺的是白名单的广泛收集，但他们宁愿收集堆成山的白名单，也不愿意去计划写脱壳引擎。(大量白名单的软件，可信度极低，白名单相当于什么？先天性残疾)

为什么呢？？因为，写报壳引擎+加入白名单=体力活+少许的脑力劳动；写脱壳引擎=脑力活+说不定检测率不如报壳来的更爽。

体力活？对呀，体力活=低工资，小企业没有钱，当然愿意自己的工程师多干体力活啊，招聘员工的时候本科、硕士生也可以大批量“批发”来做“样本工程师”。脑力活干太多的话，工资付不起了，又或者被Symantec/nai挖走了，全世界有几个像“Eugene Kaspersky”、“Dr.Solomon”、“Igor Daniloff”的天才？

用利益分析法来分析，结论很快就得出来了。

Antivir很有Made in China的风格，中国人经常可以干出 “花1块钱可以 造出 性能 和欧美10块钱一样的东西”.

从一个侧面来看，Trend为什么专搞中国区病毒码+报壳引擎？为什么不在他的全世界产品中都采用中国区病毒码？美国人就不会感染中国木马病毒？------答案很简单，对付中国的样本，要想通杀，必须具备极其变态的脱壳引擎，但要写这样的引擎，Trend现在根本做不到，即便做到了，以现在安全界普遍的的技术程度，个人PC的性能也根本负担不起。所以，干脆使出“杀手锏”，开中国区实验室，大量收集“壳”、“白名单”，专门杀壳，Packgen-0xx，干脆报壳，比Antivir的 Heur更诚实。杀壳的成本是多少，有人计算过吗？时间成本，1年时间内提升检测率“百分之几十”肯定有了；资金成本，一个中国区实验室养活的员工的工资总共能有多少？！恐怕Trend中国每年的利润都足以养活了。Trend Mirco只有真的“疯”了才会给盗版大国来设计“脱壳引擎”，他们想都不敢想。

想要知道哪些软件属于“体力活”的产物，把加了某壳的正常文件扔到多引擎，经常报Heur、Crypted、Hupigon、Packed、Graybird、Mal/EncPk、Trojan-downloader.xxxx等等类似的就非他们莫属。
“壳、灰鸽子、Trojan-downloader”已经成为中国的代名词，对付中国的木马病毒，“删掉文件就可以了！我们相信这些用户会有备份，如果他们没备份，那也是他们自己的责任”，甚至Viking（威金）、熊猫烧香感染的文件都不需要清除，管他什么感染的，一律删掉处理…………中国的“盗版”、“免费”用户要是发贴、Email询问，就告诉他们“文件即便修复了，也可能无法运行，即便可以运行，鬼知道哪天也可能出错，所以最好的办法就是杀光！通通删掉！”^%&$&$&$&无语------这2段名言出自红伞Antivir的启发式工程师之口，这就是“体力活”软件们喜欢做的事情。先不管他的“删光”政策是对是错，从其工程师理解的“最客观的角度看”，要把用户当作“无能”的，“什么都不会的”，系统感染了，删掉被感染的文件，用户幼小单纯的心灵也很恐慌，也觉得这个“杀光”后的系统是不安全的了，所以用户需要提前买一套Ghost或者Acronis来做一下系统备份（变相推销备份软件 ）；但是，从技术上讲，曾被感染过，但杀光毒的系统是不安全的吗？不是的，只要用户的系统补丁齐全，杀毒软件工作正常，内部的木马或是病毒被消灭了，那这个系统和重新安装的打了补丁的微软系统的安全程度相当，世界上没有绝对干净、安全的系统，相对被感染的系统，修复过的系统仍然是安全的，木马不再工作、病毒不再感染，有什么理由强迫用户重装系统？回过头来说，有什么理由不尽力修复哪怕是1%几率可以修复的exe文件？·····不得不敬佩干“体力活”的工程师的思维模式，他完全配的上他的工作。



在西方，大多数人用的都是正版软件，这些软件不需要加变态壳、盗版壳，不需要加花，这样的话，区别木马病毒和正常文件用“壳”来区别是绝对可行的。而如果你住在中国，那你不得不面对你的电脑里面起码30%以上的*程序*都是加壳的，那依靠壳来判断，怎么可能判断的准确？

总结一下，报壳的软件，检测率留给了世界，误报留给了第三世界国家。那些身居国外，力挺报壳软件的人们，请你们还发展中国家一份宁静吧。

PS：
说完软件技术方面的，说说个“人爱好的问题”。为什么有些超级Fans热衷一些软件？甚至我也非常喜爱某些报壳软件，那你要问我为什么还要成天批判报壳软件。这需要问吗？“爱一个人需要理由吗？~~需要吗？”

他喜欢报壳软件，是他的爱好。人都是很矛盾的，理性和感性交融在一起的。人不是机器人，人是有感情的。就像看足球，中国足球那么烂，为什么还有人喜欢？火箭队6连败，为什么还有人喜欢，为之掉泪？因为他喜欢，喜欢是不需要理由的，哪怕他是最差的。

但是，但是，别人喜欢不需要理由，那你喜欢这个软件也不需要理由吗，你喜欢上这个软件难道没有别人“推荐”、“好评”、“经验”的劝导、诱惑、蛊惑吗？？？

我写这个文章的目的，绝对不是给所谓的“高手”们上课，而是给所谓的“菜鸟”们敲响一个警钟，不要把别人的“经验”替换到你的大脑中，别人的不需要理由的“爱”某些软件，绝对不是你放弃自我，不需要理由的爱一些软件的“原因”。每个人都有追寻“自由”的资格，请你自己不要放弃，做一个看的清，想的白的真正的有点个性的你自己吧。
                                                                                                                           

                                                                                                      

[ 本帖最后由 abin5288 于 2008-7-11 16:01 编辑 ]

boywill

不知道官方认同不？

雨宫优子

我看楼主的帖子不仅不会被加精
反而会被锁起来
这里的小红伞爱好者很多的...
——————————————————————
来说一下我的看法吧
报壳也是一种策略，就像楼主所说的，报壳所要做的事情非常少
只需要足够“勤奋”就可以了
但是，除非是那些想做偷偷摸摸的事的程序（比如注册机、病毒等）
你会去选择加那些变态壳吗？顶多加个UPX壳就足够....
或许，你只是希望你的劳动成果不被别人修改
但是，互联网的精髓就是共享
如果你的软件真的价值很高，为什么不去申请个专利？

[ 本帖最后由 aarwwefdds 于 2008-6-22 14:55 编辑 ]

abin5288

原帖由 aarwwefdds 于 2008-6-22 14:43 发表
我看楼主的帖子不仅不会被加精
反而会被锁起来
这里的小红伞爱好者很多的...

要锁就锁吧，我也不图什么，只是纯粹想说出自己的看法而已~

[ 本帖最后由 abin5288 于 2008-6-22 14:56 编辑 ]

z462757289

不管是什么方式杀毒扫毒
反正有市场就是硬道理

hzlfhj

且不说观点是否恰当
这贴子还是很好的
对得起个精字

yaker

这个帖子不会锁吧？！
思想应该是自由的，有争论才有提高。
个人认为：中国的确有中国特色，适合自己的才是最好的
没有绝对通吃的规则。
联想起晓月曾经的一篇文章，
大意是：叫大家不要迷信任何杀软，红伞也只是服务我们的工具
楼主能对如日中天的红伞提出质疑需要勇气，更加需要智慧
虽然我也是红伞门徒，
但我更加认为多一些理性思考，总是好事情。

[ 本帖最后由 yaker 于 2008-6-22 23:26 编辑 ]

伊の星

写得挺好的呀
不过排版要修改下~·

伊の星

说完软件技术方面的，说说个“人爱好的问题”。为什么有些超级Fans热衷一些软件？甚至我也非常喜爱某些报壳软件，那你要问我为什么还要成天批判报壳软件。这需要问吗？“爱一个人需要理由吗？~~需要吗？”
还有这句话喜欢~·
不朽的真理

nanlouguyan

能像樓主這樣分析 也是高手
學習了