不得不公佈！現在還有大廠在使用檔案大小判毒！

英仔

不得不公佈！現在還有大廠在使用檔案大小判毒！又有兩家廠商偷機被我抓包了！這兩家大廠居然用檔案大小的方式判斷病毒！
防毒軟體依據技術能力的不能，有技術有資金的廠商，會試著把解殼引擎、啟發引擎等加強
但是這兩個部分的加強不是說加強就可以馬上加強，如果程式設計師沒有具有一定的程度
是沒有辦法設計出一個有效的解決方案！

所以有些時候會出現一些沒什麼技術成分，卻又不恰當的偵測方式
例如檔案名稱以及雜湊值判斷！檔案名稱故名思意就是根據檔案名稱判斷
像一直以來都很猖獗的機器狗病毒，假設機器狗所有變種都會產生一個abc.sys的檔案．．

並且做為它的中心驅動，那有些廠商如果無法從技術上做抵禦的方法
可能就會開始走一些偏門，例如只要在windows\system32下產生的abc.sys一律報毒的這種做法！

或者是用雜測值偵測的方式，雜測值是一種資訊摘要演算法，兩個不同的檔案
是不可能得到相同的雜湊值，不過MD5已被破解，但這個不在這次的討論範圍內！
所謂的雜湊直就是利用SHA-1或者是MD5檢測檔案是否符合
只要一符合或又同時達成其它必要條件（例如檔案位置所在）既會報毒！

上述兩種方法一直都存在，像我在去年曾經踢報過金山毒霸利用檔案名報毒



當時就覺得太誇張了，但是到了今天更讓我驚訝的是現在居然有廠商用檔案大小來報毒！而且兩家都不是沒有技術跟資金的小廠商．．

這兩家廠商分別是在最新一次AV-TEST獲得非常優異成績的BitDefender以及AVIRA兩家知名大廠

他們私底下就我所知應該無任何技術交流，但是他們卻都用了同一種方式報毒
這種方式也不像樣本交換所導致出來的問題，因為它是經過引擎判斷結構
還有檔案大小後才做出來的判斷！

首先是BitDefender它報Trojan.Generic.74723
在以前有些人曾經猜測過，有些AV的定義名尾段這些奇怪的數字是什麼？
有些人覺得是某段的特徵長度，或者是由機器判斷的編號，也有人說是基因編號，也有人說是隨機產生不代表任何意義！

以上猜測我個人不予以否認，但是今天發生的事情讓我相信檔案大小偵測還確有其事！



不過只看BitDefender看不出個所以然來！AVIRA報的就清楚多了！
AVIRA把這個樣本報做TR/Agent.271995



請注意最後那段奇怪的數字271995，它居然跟樣本的檔案大小一致！



我把樣本解壓縮後再用BitDefender還有AVIRA再掃瞄一遍，居然沒有報了！
然後我又直接對樣本壓縮檔刪去或是增加檔案，讓檔案大小改變
最後確定檔案大小只要不是271995byte，它們就都不報了．．
也由於BitDefender的關係，導致GDATA也有這個問題



直接使得AVK 2009的高偵測率受到了多少質疑，因為我自己已經開始思考．．
這兩家AV究竟靠這類的方式，不一定是檔案大小這樣的方式！
而是類似這種靠檔案大小判斷的投機方式
到底額外獲得了多少偵測率？這真是一個有趣的問題！

高偵測率的背後究竟還有多少不為人知的問題？
就一般人而言，他們只重視偵測率，認為偵測率高就是最好
但是評判一個AV好或壞，偵測率絕對不是唯一或是最重要指標
但是又有多少人能夠看輕這一點呢？

以上文章轉貼自Lawliet's blog
http://antimalicious.blogspot.com/

fongfc

寫成英文  發到外國去

mofunzone

antivir的那个特征是直接定位在exe上的，而winrar的exe自解压被解压出来之后的exe文件的特征都被抹去了，所以才会这样，和大小没任何关系
造成这样的原因很简单，因为那个winrar的自解压文件被而已宏改了解压的api，这样antivir没法把文件解包，所以对源文件的exe特征定位没有定位到解压后的文件上
就是这么简单
至于那个数字，只是方便命名而已

火球

以后改走超大型木马路线

嘁。不稀罕~

这个不奇怪，一些杀软对系统文件如：windows\system32的防护是使用白名单，而非黑名单！

梅西

楼主是港澳台同胞麽？使用繁体中文~

嘁。不稀罕~

楼主是澳门滴。。。赌王

harrytien

用unlocker杀毒，乃才是手动杀毒达人

capsshift

嗯，楼主的测试很重要。

3楼的解释很合理。

反正我用红伞，只要保护了安全就行。

D20099188

昨天红伞区有讨论的，大家自己看
http://bbs.kafan.cn/thread-323677-1-1.html