虚拟机和解壳的区别

744848170

经常看到某些病毒爱好者写的文章，评价一些杀毒软件能力弱，最常用到的证据就是：某个流行病毒，加个壳，就能过杀毒软件了。这说明目前的虚拟机脱壳技术，仍然落后于加壳技术，给病毒制造者可乘之机。杀毒软件在运行状态下，当然可以监控，即便杀不了带壳的，但其生成的病毒仍然能够识别。可是，一旦出于某些原因，暂时关闭了实时监控，那么这个问题就不好说了，病毒在这段期间内就可以为所欲为了。趋势确实是比较喜欢报壳的，从各位用户的反映，以及趋势在VB100中由于误杀而落败就可以看出。毕竟趋势使用的是特征码防毒，这种技术是非常成熟稳定的，出现误杀的可能性极低，趋势之所以在VB100中出现误杀，原因恐怕就是VB100给某些正常的文件加了壳，然后让杀毒软件扫描，也只有这样，才会出现误杀。毕竟趋势的启发扫描不是特别强大的，他可能识别不出来未知病毒，但正常文件还不至于识别错，唯一解释就是：软件加了壳，而趋势是见这种壳就报病毒。


       但是，必须要说的是，真正大家工作中遇到的软件，趋势误杀的有吗？至少现在在论坛里从来没有听说趋势杀了系统文件或者OFFICE之类的办公软件。我是用的盗版工作软件AUTOCAD等等，也没有误杀过。所以，个人认为，报壳其实是一个各方面权衡后的最佳选择！


        杀毒软件的开发者自己都承认，虚拟机技术是对加壳病毒最理想的解决办法，但是虚拟机技术用的过多，会使电脑运行速度变慢，资源占用也很高，所以只能有限的使用虚拟机脱壳。脱壳技术是什么？说白了，就是数学！俄罗斯人的数学天分是举世公认的，所以大蜘蛛的脱壳能力强，一点也不奇怪。真正优秀的杀毒引擎开发者，很多都是数学专业毕业的，或者是数学成绩非常优异的，只有这样，才能对付那些复杂的加壳技术。加壳如同加密，解壳则是要解密，虚拟机可以绕过解密这一步，让程序在运行时暴露本质。但真正的理想的脱壳技术，则是直接读取被加壳文件的原貌。大蜘蛛最牛的，就是他能直接读取的壳最多！因此大家不要把虚拟机技术和解壳技术混淆，虚拟机其实不需要解壳的，他是诱使程序运行，而真正的解壳是不需要程序去运行的。我们的银行U盾，你想解开那个128位加密的KEY是很难的，那需要极高的数学技巧，好像还没人能解出来，他本身就是利用一个数学难题，一个无法反推结果的数学题，来进行的加密，如果你能解开那道数学题，也就意味着加密方法失效了。创造一个数学难题，和解除一个数学难题，很明显，是解题要复杂得多。


       目前趋势没有去花费时间和精力来去解那一个又一个的壳，很多是直接见壳就报的，这样的好处显而易见，就是使那些病毒制造者必须去花力气开发新的病毒，而不能是简单的老毒加新壳就绕过杀毒软件。试想如果所有杀毒软件都能够见壳就报，反而是一件好事，这样就迫使程序开发必须遵循一定的原则，比如不用加壳技术或者是只是用杀毒软件都能解开的壳，这样，明显提高了病毒制造的门槛，使得互联网更安全。现在，一年出的新病毒有上百万了，但是，谁都清楚，所谓的百万病毒，大多数都是加壳的。杀毒软件自己恐怕也明白这个道理，好人和坏人都加壳，这样才能使得杀毒软件卖的更好！如果仅有坏人用某类壳，那么互联网是安全了，可是杀毒软件不就没饭吃了吗？熊猫烧香就是最好的例子了，加个壳，干掉了绝大多数杀软，其实如果所有杀软见这个壳就直接删除他，那么根本就轮不到他来破坏了。

       大家在讨论这个报壳问题的时候，其实应该仔细想想这个道理，本身这么多壳泛滥，就是因为目前没有程序编写的强制规则，大家尽情的加壳，杀毒软件则多数跟着壳后面跑，纵容这种现象。我们需要的不是某个杀软炫耀自己解壳有多厉害，虚拟机有多强大，而是真正的安全。见壳就报，那样，病毒制造者想利用加壳来免杀就等同于一个笑话！所以，大家应该支持杀毒软件的报壳，最好是所有杀软都报壳，彻底断绝病毒利用壳来免杀的方法！


       VISTA很不好用，但是确实比XP安全，原因是他的工作机制本身比XP要安全。如果程序的编写本身也有某种共识，有某种共同遵守的规则，那么就不会出现一年上百万病毒的局面了，让所有的壳见鬼去吧。

xy0727

我在没有用vista 以前    也认为vista 很不好用     但我买了本子后    用了vista 半年了   
vista 在内存占用上面确实比xp要高好多     因为vista界面华丽 漂亮     除了这一个以外    xp确实可以淘汰了

迷惘依然

楼主的说法我绝对不认同,所有的破解者都希望杀毒软件都报壳,而且报的越多越好,楼主,你知道吗?这个世界上除了有病毒还有破解者的,如果杀毒软件都报壳,那么就没有软件敢加壳了,那么到时商业软件的破解将变得更加容易,那么商业软件会去找谁算帐呢?哈哈

迷惘依然

往往破解一个软件得到的利益比玩病毒的到的还多,你没看到现在很多软件都不得不加壳了吗???加壳就是把破解者阻挡在第一步,壳的出现也是这个原因.........

圣子龙

报壳也是无奈之举。虽然没有解不开的密码，但花费的时间和资源太多就没意义了。RSA加密算法据说要花17年才能解开，这期间只要换个密钥，破解者就前功尽弃了。代价大于所得，就促使黑客退却了。

jefffire

所谓“解壳”属于静态脱壳，把文件作为参数调用，实际不运行。脱壳能力差，但占用资源小
所谓”虚拟机脱壳“属于动态脱壳的范畴，文件在虚拟的环境中运行了。脱壳能力好些，但很卡CPU

嘁。不稀罕~

只有趋势的中国区特征码报壳，而趋势参加任何测试使用的都非简体中文版的产品，因此并不会报壳。换而言之，误报就是真的误报。

西门东郭

有道理，支持了。

法外制裁者

加壳是一种方法、一种工具，这些东西本不会有褒义贬义。至于好坏完全取决于如何使用它们，为了消灭坏处就去消灭这种工具显然是一种消极作法

fido_lee

偏激。

这样完全偏激的认为壳的作用，严重地曲解了壳存在的意义。

如同楼上所说，壳的存在，仅仅为了病毒生产变种？

因噎废食。