关于大蜘蛛脱壳不强的一点看法

wangmu_1985

脱壳的问题偶在前提上已经补充了，我们再来看修复和脱壳的关系，假如一个球中有很多序号，其中数字为三的序号是病毒，需要修复，但他有花边，我们怎么把数字3给移除而不损害其他的数字，一种就是记得带着花边的图案，一种就是认得这些图案。当然把图案脱离开而不损害其他的数字图案也是一个影响修复能力的重要因素。

[ 本帖最后由 wangmu_1985 于 2008-11-19 16:24 编辑 ]

欠妳緈諨

“不能查杀代表不能脱壳才是真理”，这就对了
起码这个测试足以证明蜘蛛的脱壳不强 ，因为它的查杀率摆在那，至于别的杀软脱壳强弱，不在本文讨论之列！

欠妳緈諨

这个测试至少证明我说过的，ESET脱壳比蜘蛛强，要知道，ESET基本是不带壳入库的！

可是我也没发现其他杀软确确实实比蜘蛛强

说蜘蛛脱壳强也是比较其他杀软而言

从目前结果看，蜘蛛脱壳最强还是很有可能的

The EQs

原帖由 欠妳緈諨 于 2008-11-19 15:53 发表
你要明白，那个测试里别的软件并非是不能发现病毒，只是无法修复而已，没人否认蜘蛛修复能力好，不过这和脱壳能力是两码事 ，像NOD32这样的软件，它就是脱了壳也不能修复，基本只能删除。那些说蜘蛛脱壳强的， ...

不说别的了。。。。。。Virut大部分不是启发报的NOD32都能清除和修复,还有Alman，Parite基本上也都能。。。viking也能清除和修复一些

[ 本帖最后由 EQ2 于 2008-11-19 16:15 编辑 ]

估计不少厂商考虑到脱壳效率问题放弃脱壳了
脱壳时间是个硬伤

gmen_pliskin

修复能力是指杀软从被感染的PE文件（包括exe，dll，sys）中把正常文件和病毒文件剥离的技术。如果把被感染的PE文件看作一个RAR压缩包，修复就是指解压缩。
      而脱壳是指病毒利用PE文件变形技术对自身进行伪装，达到逃避杀软的目的。

两个完全不一样

gmen_pliskin

viking是感染型病毒，我测试的是非感染型病毒

wangmu_1985

原帖由 欠妳緈諨 于 2008-11-19 16:10 发表
这个测试至少证明我说过的，ESET脱壳比蜘蛛强，要知道，ESET基本是不带壳入库的！

这话不错，但是大蜘蛛的病毒库世界最紧凑无人可以否认。在AV test中大蜘蛛查杀率只有85%，但是这并不能说明是病毒库不紧凑，因为不能解壳给病毒库带来的是指数化的查杀率降低，而不是线性的，这个概念老兄不会不明白吧..........

death43

原帖由 wangmu_1985 于 2008-11-19 16:04 发表
脱壳的问题偶在前提上已经补充了，我们再来看修复和脱壳的关系，假如一个球中有很多序号，其中数字为三的序号是病毒，需要修复，但他有花边，我们怎么把数字3给移除而不损害其他的数字，一种就是记得带着花边的图案， ...

没看懂什么花边图案之类的,不过从你之前的言论貌似都是围绕一句话:修复和脱壳有很紧密的关系
对于这句话我不敢苟同...病毒如果破坏一个文件(比如随意删除一段),那么任何杀毒软件要修复都无能为力吧(除非之前备份过这个文件,不过貌似还没听说有这样的杀毒软件).能够修复的无非是被感染型病毒感染的文件,病毒一般就是在这些文件里面插入自己的一段代码,如果病毒库里面知道这个病毒,懂得他感染的方式,那么就可以删除这段代码,修复文件.
红伞能杀毒,但修复能力弱,说明他通过特征码,启发或者其他什么方式,判断出这个文件携带了病毒代码,但是不知道具体的感染方式,无法修复,只好整个删除
但是大蜘蛛确如果连这段代码是病毒代码都查不出来...那么还修复个什么...
加壳只是变变型防止被探测出来,和修复没什么关系吧