AVP Club大讨论——Kaspersky的特征码真的很随便吗

zwl2828

此话题来自AVP Club。
言论不代表本人观点。

●Kaspersky现在的威胁特征码真的很随便吗？是不是Kaspersky退步了？还是误会？

●病毒趋向于小区域爆发，如果没有依靠社群的力量，各家防病毒软件的侦测率一定都不高。除了KL之外，Symantec、TM等厂商都有各自的拥护者在上报病毒。但靠这些人上报仍不够，因为有些木马甚至只出现在某些单位，那些人不见得会帮你上报病毒。

所以，各家开始研发一个新的侦测技术、新的防御技术，或整合一些旧有技术。云端运算、HIPS、启发式分析、应用程序白名单/ 防火墙…

许多病毒专门针对Kaspersky做免杀，除了它的使用率高之外，加上它还提供扫描引擎给其他家防毒、在线扫描或UTM厂商。KL的回报机制已经算快了，而且哪些病毒分析师也很可怜了，每天都有测不完的毒。

在KIS 2009发布后，KL就已经认为，防护重点不是在防病毒软件能侦测出哪些病毒，而是计算机里正在执行哪些程序，因为程序无法执行，也就不能感染计算机。这时，威胁特征码还重要吗？不过，说真的，俄罗斯人的高傲，有时还让人蛮不爽的。

PS：威胁特征码有记录病毒特征和解毒方法，所以还是要用它来解毒。

●如果看过席克信息的档案库，或是其他大量数据比较表，会发现同种的威胁，Kaspersky往往需要好几个威胁特征码才能解决，也就是现在125万数据库里绝大多数是同种的。甚至连子母威胁都可以搞很多个威胁特征码，那些大量数字只是好看而已。

●解毒有些甚至配合引擎才能解，Kaspersky效率太高以致于分析很草率，同个分析师不同人上报结果就是不一样。

●Kaspersky应该多采用基因启发，这样病毒库会小很多。ESET，McAfee可以当范例。

●如果仔细分析并归纳出基因库，就能减少体积庞大的病毒库，不过要牺牲一点误判率。

●俄罗斯人的高傲有时候建议也没用。卡饭有人跟KL反应特征码的问题，但我想要改也不是一天两天的事。因为其他厂商也是靠这些病毒特征吃饭，没改好，OEM生意也泡汤了。

启发分析倒是可以期待一下WKS 8.0，因为它没有HIPS，所以这部份会加强。

●Kaspersky 的特征码是我见过最短、最小的一种，这样是为了方便增加更多特征码？

●这样说Kaspersky 的特征码质量不太好，同种的威胁，Kaspersky往往需要好几个威胁特征码才能解决？你指的同种是不是同一家族的毒(所有变种)？还是你指的是一只毒？

请问一下，如果只比较特征码的质量，那么哪些厂商比Kaspersky好呢？

●我不否认，因为加壳的确导致许多防毒厂商抓毒越来越弱。明明是同一只病毒，却因为加壳后，报别的病毒，其实是壳在作怪，而病毒并没有改变。

而云端技术，是要看人怎么去使用，不能光用云端而放弃人工解毒

●如果Kaspersky如大家所号称能解很多壳，为何不能如ESET一样只用一个威胁特征码呢？这表示分析师很可能连脱壳都懒得脱（可Kaspersky不是自动分析吗） 。用壳来说明Kaspersky对这点的疏忽似乎不太能说得过去，不过还是希望有更多意见。

●这应该不是解壳的范畴，不过可以说在"特征码"的层面上ESET与Kaspersky存在一段距离。

●也不能说是懒得脱壳，我想Kaspersky只有第一线解毒人员，没有在幕后整理病毒特征的人(以前看过报基因库，可是很少)。如果有整理，就能依照病毒名称做归类，归类在一起的，报基因库，这样就能删掉很多病毒特征。

看看小红伞，更新引擎都是为了基因库，现在，TR/Crypt.XPACK.Gen通杀Yahoo邮箱病毒，Kaspersky还是一个一个解。

●Avira 由一开始就只有 TR/Crypt.NSPM.Gen 及 TR/Crypt.XPACK.Gen，而且也只是报壳。

●卡巴的特征码定位能力很差劲，以前有文章说卡巴的一个特征码顶得上很多杀软的几十个是骗人的，是其他杀软的一个顶得上卡巴的几十个，再加上现在很多都是机器分析，我上报的很多有威胁的样本都被当做干净的样本处理了，其他厂商都认为含有恶意代码，就只有卡巴一家说没有恶意代码。

●Kaspersky不论到哪里侦测率第一时间都很低。

●懒得脱壳是瞎说的。上次Swizzor就基因侦测了，只能说各个分析师好像独立个体一样。

●Kaspersky的基因侦测好像也不怎么样？我记得那定义能杀的样本"很有限"

McAfee随便加个Swizzor.gen.c定义就杀的比Kaspersky的基因启发还多。不过卡巴，McAfee那定义后来好像也没在更新过了~Kaspersky还是继续用原本的定义方式。

●卡饭后来有人继续上报后Kaspersky一样有更新基因。

●那是后来的侦测率，一堆人抢着上报，当然后来看得就高，如此而已。幸亏Kaspersky有很棒的HIPS。

●如果真要说，就是病毒库庞大，解毒也快，所以侦测率才能保持，不过现在就很难讲了。

●可不可以说明一下，病毒特征的质量主要影响防毒软件的什么方面？是不是主要影响效能和病毒特征重复的问题？

●特征码的质量会直接影响侦测率，误判率。不知"效能"是什么？如果是扫描速度则有间接的影响。

病毒特征重复亦不知明确的意思是什么？如果是同一病毒可以被判断为数个不同的名称， 应该没有可能吧？如果是同类行为的病毒导致产生多个特征码，这是正常的现象，厂商会因此定期整理其特征码数据库。

"基因" 就是厂商对同一类威胁有深入分析后，定义出的特征码，正因为是针对同一类威胁， 所以可以侦测到已知或未知 (即启发)的同类威胁。

●"基因"不一定是"启发"，就跟阁下说的一样，部分威胁家族有共同的特征，像是加固定的壳：灰鸽子，或是相同的行为：AutoRun。

●有时Kaspersky常报[病毒XXX修改]，这原来就是基因的作用。其实基因真是十分有用的，可以一个基因防N个病毒。

这样是不是特征码的质量只会影响未知的侦测率，而不会影响已知的侦测率？

●都会影响，就好像警察把犯人的照片印的清不清楚，印不清楚就会抓错人，印清楚自然就容易抓到歹徒。

●已知毒也会!integear，有无实例说明一下，卡巴的特征码的质量也不太好。

●Kaspersky的病毒库问题我已经和他们说过了，现在已经好些了，即使没有Gen，一条特征码也可以查杀很多病毒。现在卡巴的Gen确实很少，但是已经逐渐增多。我用ICQ问过他们，他们说Gen太多，容易误报，所以他们对于Gen的编写很谨慎。

●请问一下，是不是现在的Kaspersky都可以一条特征码也可以查杀很多病毒？如果是这样，那表示在进步。

●有待观察,目前情形依然不变。

●在卡饭的测试中，已经有些改善。但不是很明显。

[ 本帖最后由 zwl2828 于 2008-10-11 14:34 编辑 ]

syfwxmh

你为什么把我的回复给删除了~~我在AVPCLUB上也有回复，还有为什么卡巴这么定义的原因

zwl2828

原帖由 syfwxmh 于 2008-10-11 14:00 发表
你为什么把我的回复给删除了~~我在AVPCLUB上也有回复，还有为什么卡巴这么定义的原因

删除了不少，你在后面，我居然给忘掉了....Sorry

syfwxmh

好想把你扔出去~~还有你的那个symantec讨论也有问题，卡巴现在升级平均50min升级一次，最快30min，上报到入库平均2小时入库

zwl2828

原帖由 syfwxmh 于 2008-10-11 14:31 发表


好想把你扔出去~~还有你的那个symantec讨论也有问题，卡巴现在升级平均50min升级一次，最快30min，上报到入库平均2小时入库

拜托，是人家讨论的，我转过来啦....

syfwxmh

要我的话就和原作者说明，这样会误导的~~

醉一生爱妍

我提取特征码也很随便的 ..


甚至...我偏向工具化

zwl2828

原帖由 syfwxmh 于 2008-10-11 14:37 发表




要我的话就和原作者说明，这样会误导的~~

这个......对了，你扔不掉我的，我有52KG哦。

syfwxmh

什么东西？

zwl2828

原帖由 syfwxmh 于 2008-10-11 14:42 发表
什么东西？

你不是想把我扔掉吗？