虚拟机和解壳的区别！

eva90

经常看到某些病毒爱好者写的文章，评价一些杀毒软件能力弱，最常用到的证据就是：某个流行病毒，加个壳，就能过杀毒软件了。这说明目前的虚拟机脱壳技术，仍然落后于加壳技术，给病毒制造者可乘之机。杀毒软件在运行状态下，当然可以监控，即便杀不了带壳的，但其生成的病毒仍然能够识别。可是，一旦出于某些原因，暂时关闭了实时监控，那么这个问题就不好说了，病毒在这段期间内就可以为所欲为了。趋势确实是比较喜欢报壳的，从各位用户的反映，以及趋势在VB100中由于误杀而落败就可以看出。毕竟趋势使用的是特征码防毒，这种技术是非常成熟稳定的，出现误杀的可能性极低，趋势之所以在VB100中出现误杀，原因恐怕就是VB100给某些正常的文件加了壳，然后让杀毒软件扫描，也只有这样，才会出现误杀。毕竟趋势的启发扫描不是特别强大的，他可能识别不出来未知病毒，但正常文件还不至于识别错，唯一解释就是：软件加了壳，而趋势是见这种壳就报病毒。
       但是，必须要说的是，真正大家工作中遇到的软件，趋势误杀的有吗？至少现在在论坛里从来没有听说趋势杀了系统文件或者OFFICE之类的办公软件。我是用的盗版工作软件AUTOCAD等等，也没有误杀过。所以，个人认为，报壳其实是一个各方面权衡后的最佳选择！
        杀毒软件的开发者自己都承认，虚拟机技术是对加壳病毒最理想的解决办法，但是虚拟机技术用的过多，会使电脑运行速度变慢，资源占用也很高，所以只能有限的使用虚拟机脱壳。脱壳技术是什么？说白了，就是数学！俄罗斯人的数学天分是举世公认的，所以大蜘蛛的脱壳能力强，一点也不奇怪。真正优秀的杀毒引擎开发者，很多都是数学专业毕业的，或者是数学成绩非常优异的，只有这样，才能对付那些复杂的加壳技术。加壳如同加密，解壳则是要解密，虚拟机可以绕过解密这一步，让程序在运行时暴露本质。但真正的理想的脱壳技术，则是直接读取被加壳文件的原貌。大蜘蛛最牛的，就是他能直接读取的壳最多！因此大家不要把虚拟机技术和解壳技术混淆，虚拟机其实不需要解壳的，他是诱使程序运行，而真正的解壳是不需要程序去运行的。我们的银行U盾，你想解开那个128位加密的KEY是很难的，那需要极高的数学技巧，好像还没人能解出来，他本身就是利用一个数学难题，一个无法反推结果的数学题，来进行的加密，如果你能解开那道数学题，也就意味着加密方法失效了。创造一个数学难题，和解除一个数学难题，很明显，是解题要复杂得多。
       目前趋势没有去花费时间和精力来去解那一个又一个的壳，很多是直接见壳就报的，这样的好处显而易见，就是使那些病毒制造者必须去花力气开发新的病毒，而不能是简单的老毒加新壳就绕过杀毒软件。试想如果所有杀毒软件都能够见壳就报，反而是一件好事，这样就迫使程序开发必须遵循一定的原则，比如不用加壳技术或者是只是用杀毒软件都能解开的壳，这样，明显提高了病毒制造的门槛，使得互联网更安全。现在，一年出的新病毒有上百万了，但是，谁都清楚，所谓的百万病毒，大多数都是加壳的。杀毒软件自己恐怕也明白这个道理，好人和坏人都加壳，这样才能使得杀毒软件卖的更好！如果仅有坏人用某类壳，那么互联网是安全了，可是杀毒软件不就没饭吃了吗？熊猫烧香就是最好的例子了，加个壳，干掉了绝大多数杀软，其实如果所有杀软见这个壳就直接删除他，那么根本就轮不到他来破坏了。
       大家在讨论这个报壳问题的时候，其实应该仔细想想这个道理，本身这么多壳泛滥，就是因为目前没有程序编写的强制规则，大家尽情的加壳，杀毒软件则多数跟着壳后面跑，纵容这种现象。我们需要的不是某个杀软炫耀自己解壳有多厉害，虚拟机有多强大，而是真正的安全。见壳就报，那样，病毒制造者想利用加壳来免杀就等同于一个笑话！所以，大家应该支持杀毒软件的报壳，最好是所有杀软都报壳，彻底断绝病毒利用壳来免杀的方法！
       VISTA很不好用，但是确实比XP安全，原因是他的工作机制本身比XP要安全。如果程序的编写本身也有某种共识，有某种共同遵守的规则，那么就不会出现一年上百万病毒的局面了，让所有的壳见鬼去吧。

Oday

玩计算机的本身就是玩数学。

eva90

确实如此，抽取特征码等等，也是看数学功底了，数学功底强的，特征码就精短有效。一个特征码对付数百种变种病毒，就是靠数学好才行的。

coolbb

增加了见识，谢谢。

jiangchuan

有道理
但是某些合法软件加壳也是需要
并不是合法的东西都能大白于天下的

gho

长见识了谢了

nakedkiller

什么叫合法的软件不能大白于天下。

jiangchuan

比如一些网络运营商的拨号程序

江湖的fans

如果所有杀软都报壳

那么就很容易误杀了

那就天下大乱了

yy8088

同意楼主说法