关于大蜘蛛脱壳不强的一点看法

wangmu_1985

看了gmen_pliskin的杀软测壳贴，得出大蜘蛛脱壳不强的结论，http://bbs.kafan.cn/viewthread.php?tid=370331&extra=&page=1
不禁感到一些疑惑，以下是小弟的观点，欢迎讨论，拒绝口水哈 。
       首先测试的数量那么少不能够说明问题，世界上壳估计有上千种，大蜘蛛不是自称能托4000种吗？此外还有地域的问题、如果你是大蜘蛛老板你是先解决俄罗斯黑客的壳还是中国壳（这里有一部分是中国壳）？红伞的BOss也默认大蜘蛛脱壳是最强的，而且还有带壳入库的因素。也许你加的壳人家已经带壳入库了呢？
    不要忘记大蜘蛛是算法脱壳，对未知的壳能力不如虚拟脱壳强。还有一点是没有说明壳的强度，也许都是弱壳，那么只能说明反病毒厂商对壳收集的能力和对中国的重视程度，如果是强壳则可以说明问题.............人家国外那么权威的评测不会比我们网友的36个de评测失真吧，在概率上那么多壳只测36个离群值是可以很高的，大蜘蛛脱壳获得铂金奖就足够说明问题了。
    此外不是我要损人，其实评测者对杀软的一些观念也不是太对，比如说脱壳速度慢说明NOD扫描快是传言 ，难道你机子上的程序都是带壳的，没入白名单的？NOD脱壳确实慢了，可你的机子上带壳程序比例是多少？我用卡巴和NOD的感受是NOD对不大可能是病毒的文件跳的很快，我是个古典音乐的爱好者，硬盘里装了很多MP3 APE文件，NOD在扫这些文件夹时几乎是一跳而过的，卡巴就慢了许多。偶对算法脱壳不了解，但是对虚拟脱壳却听了很多课。我们要注意到这样的数学博弈：任何使用虚拟脱壳的厂商都必须选择这样的一个平衡点即虚拟机对未知壳的侦测和脱壳速度之间的权衡，换句话说，你同样一个壳，我用对已知壳针对性强的内核脱壳的速度就快，而同样针对性弱但同时能够脱该壳的虚拟机则速度慢但是虚拟的比前者更像，也就是对未知壳侦测的能力强：再讲个简单点的比喻，你要是只想烤面包的话买个面包机就可以了，但如果你不知道你将来喜欢什么美食，就去买多功能烤箱，既可以当面包机用也可以对未来自己喜欢的美食留下余地，但是多功能烤箱的价格比面包机贵。因此NOD和卡巴之间脱壳不能说明卡巴7比NOD弱（偶不是要损NOD，偶用的就是EAV+comodo）。

    还有一点要说明的，我软件学院的同学经常作免杀告诉我宇宙第一杀软脱不了多少强壳，可是在这次里面居然拿了那么高，说明了什么？只能说明他脱了很多商业壳和“中国特色壳”。不同的壳各有用途，商业用壳实际上是防止破解的，而且把它来作免杀的也少，病毒厂商势必优先考虑解决作免杀次数多的壳，有些商业壳根本就不适合用于病毒的传播，偶同学给偶看过一个商业壳，200K的文件加一个就多出200K，难道黑客喜欢加这样的壳吗，文件越大越不利于病毒的扩散传播，对于这样的壳病毒其实带壳入库就足够了。不是我要扁国产，这是人家长期作免杀的经验。除了红伞外其他虚拟脱壳的比算法脱壳的来得强，也说明了很多问题。
   
    卡巴大蜘蛛脱壳绝对不是传闻，更不是忽悠人的。俄罗斯的理工科学生在美国敢跟中国学生比，这从侧面可以看出俄罗斯人的数学能力了。中国做不好杀软是很多的因素的结果（盗版，破解，公关至上，黑手，人才分配不合理等等）。
    最后还是那句话，欢迎讨论，拒绝口水。


    补充他人所质疑的几点：
       首先是大蜘蛛脱壳强的证据：1、修复病毒强，跟脱壳直接有关系   2、我们来看这样一个数字游戏：有10个序号的球，1——10，其中3，6，9为病毒，此外有3种花边（壳）使你很难看清那个数字。那么我来看我们要记多少种球才能完全杀毒呢，认得花边的人只要记三种图案，而都不认得花边（壳）的人如果只加一个花边则要记9种图案。认得一个花边的人只要记6种图案，如果加两层花边那么不认得花边的人要记27种图案，只认得一个花边的人要记18种图案..........大蜘蛛的病毒库全球最紧凑足以说明脱壳能力强(这个没人否认吧)。修复病毒也是这个道理：假如一个球里有很多个数字，而某个数字是病毒，你要去除他但是又不能损害其他的数字图案，同时这个数字图案是有花边的，怎么办呢？要吗认得这个花边的规律（解壳），要么就把带着花边的图案直接记下来（带壳入库修复）。红伞自己也承认带壳入库是很普遍的事，红伞自己也有带壳入库。尽管drweb查杀率不高，但是同样的病毒库脱壳或识壳能力与查杀率是指数化的，而不是线性的。AVtest中drweb查杀率85%但是病毒库远远小于EAV查杀率的85%。当然此外还有一些因素，如病毒变种，但这不是主题。
      第二点是有网友质疑为什么既然中国特色的壳不入那么俄罗斯的黑客不会选择用中国的壳呢？语言障碍，中国很多人到处找破解（绝大多数并不是想玩杀软） 可是却不知道红伞是免费的，或者虽然免费还是用不了，这就能说明问题了。
        第三点是商业壳是否适合于免杀呢？现在的网速确实快了，但是一个壳200K，如果挂在恶意网站上用户要好几秒才会下来，这在网络传播上很不方便，加上壳体积大运行时资源也大，譬如盗号木马你这时候就比较容易出问题。另外假如加多个壳呢，一个就200K了，多个就不可想象，人家用眼睛就可以看出来这个1M多的东东怎么从没见过？因此黑客免杀有免杀壳，商业加密有加密壳。当然商业加密壳本就不是用于免杀的，因此虚拟机自然就显出优势来。

[ 本帖最后由 wangmu_1985 于 2008-11-19 17:05 编辑 ]

75406997

楼主讲的真有道理

dl123100

支持楼主的观点。
希望原帖作者提供下具体壳名或样本。

fzz8848

纠正一点：所谓的铂金奖不是指脱壳厉害，而是修复（治疗）能力强

嘁。不稀罕~

这个测试也不存在问题，那36个壳测试，只是一种参考。


ps：均衡发展真的很重要，某种程度上，脱了壳不能发现威胁，倒不如直接报壳，更安全。

wangmu_1985

很多时候脱壳了才能修复啊........

非正规ID

分析的不错~

lbxz

喜欢就好，不喜欢也罢，在自己

death43

原帖由 wangmu_1985 于 2008-11-19 14:08 发表
很多时候脱壳了才能修复啊........

不感染就不用修复了,病毒感染一个文件要做到不让任何杀软修复太容易了,所以很喜欢小红伞,不太需要他的修复能力,别让病毒进来就行了

欠妳緈諨

lz认为大蜘蛛脱壳强不是传闻，不妨拿出证据来哦