[原创]漫谈NOD32病毒库与其他杀软之比较

miss100

以前一直对NOD32的病毒库有些疑问，为什么它每天更新的病毒库中病毒名最后面会跟着一个括号以及不同的数字，比如Win32/TrojanDownloader.Zlob.ARP (9), 现在对于这个问题，我已经通过这个地址已经得到答案了，如图所示

　　

　　此主题相关图片如下：

　　

　　我们可以发现2056这次的升级如下：30 signatures added (60 variants)翻译的结果就是添加了30个签名（60个变种），由此我们可以知道了，NOD32病毒库升级中病毒名后面的括号中的原来是变种数，也就是说比如上面那个病毒，NOD32这次更新添加了这个病毒的特征码，同时它可以查杀9个这个病毒的变种，而不需要对这个病毒的其他变种做另外特征码的添加。那么什么是变种呢？很多人会有疑问，我就谈一下我对病毒变种的认识

　　我们以风靡大陆的viking病毒为例，如图所示：

　　

　　此主题相关图片如下：

　　

　　NOD32病毒库中包括了196中viking病毒，也就是说,以nod32的立场来说，它们发现的viking病毒有196种，其他的viking病毒都是这196个病毒的变种。再简单点就是说就是，截至现在，这196中viking相当于是母体，其他所有的viking病毒都是依靠这196个病毒所衍生出来的，他们或是通过加壳或是花指令等或是修改特征码等，但是万变不离其宗，它们和以上的196种就是脱离不了关系，并不是一个新源代码所产生的新病毒，所有说这就是变种，而不是新病毒，只能归入其母体命名。

　　但是就是由于NOD32的这种命名方式，使得其病毒库在一些人眼中变成了小病毒库了，因为变种在NOD32的命名当中，它不给予新命名，而是以其母体病毒名的变种形式而存在，我们在反过来看看其他杀软的情况看（本来我准备收集国外各大杀软的在线病毒库更新列表来做比较的，但是国外各大杀软更新列表很难找到，而且我发现其实外国各大杀软的病毒命名其实和国内三大的命名也差不多，所以这次只以国内的三大其中的两大来做比较，其中江X的在线更新列表找不到，也作罢了）

　　我们来看看X星的这次更新：   单单一次就增加了349个病毒查杀，国内安全形势严峻啊~~~~~

　　我们再来看看X山的这次更新：  一次更新增加了比X星更多的查杀，达到了381个，单看数字相当的恐怖

　　如果我们仔细看看他们添加到病毒库中的病毒，我们可以发现单单就是那么一次更新,X星和X山分别对新灰鸽子木马新加了100多以上的更新，而且有意思的就是x山的病毒命名后面跟着的数字，我怀疑这些数字可能是样本上报时的大小，大小不同的在X山的眼中也就是一例新病毒。我们真的很奇怪，国内一天真的有这么新版本灰鸽子产生以及泛滥吗？以这种形势来看，国内两大病毒库中是否灰鸽子比例就占了绝大多数？我们不禁要问，这些灰鸽子都是新泛滥的新出来的灰鸽子吗？答案不是，这些灰鸽子应该99%都是老鸽子的翻新，而就是这些老鸽子的翻新样本，而杀毒软件以这种形式添加病毒库实在是有点为了充数的感觉。可能他们添加的这个灰鸽子样本在整个互联网上可能都只有一个（这个不是没有可能，因为无聊的人并不少）。由于杀毒软件公司没有这个能力做到可以检查这个样本是否具有广泛性，使得可能一些病毒库中的特征码可能在它添加那天起就没有机会遇到这段代码的那个病毒，而在一般用户眼中，他们所看到的只有一个在无限膨胀的病毒库，他们永远不清楚这个病毒库中到底有多少水分，他们永远不清楚这个病毒库看似庞大，他到底有多少效用

　　综合以上所述，我只想告诉大家比较病毒库大小真的没什么意义，一般杀毒软件的病毒库以X星等这样的命名方式，想要达到几十W其实完全都不是问题的，而拿这种命名法和NOD32病毒库来做比较是否具有可比性？

　　以上都是我个人的想法，有什么错误的地方希望大家能够指出来，我也只是菜鸟一只。（完）

The EQs

金山一个病毒得分几次才能更新。。。。。实在无语ing。。。。一天有几十个病毒就不错了。。。

The EQs

不知道eset的引擎一个特征码能杀几个变种。。。。反正知道AVP和drweb引擎一个特征码能杀不少变种。。。

The EQs

本来我准备收集国外各大杀软的在线病毒库更新列表来做比较的，但是国外各大杀软更新列表很难找到，而且我发现其实外国各大杀软的病毒命名其实和国内三大的命名也差不多，所以这次只以国内的三大其中的两大来做比较，其中江X的在线更新列表找不到，也作罢了

区别还有有的
中国厂商灰鸽子多数都用Gpigeon来命名，而国外厂商用三种Gpigeon，huigezi，gray bird。。。。而且就是熊猫烧香的命名也不同。。。国产杀软通常是nimaya或者是whboy，国外杀软是fuckjacks。。。。

binkko

上次在央视新闻看到evilpanda这个名字

[ 本帖最后由 binkko 于 2007-2-15 13:42 编辑 ]

miss100

原帖由 EQ2 于 2007-2-13 22:02 发表
不知道eset的引擎一个特征码能杀几个变种。。。。反正知道AVP和drweb引擎一个特征码能杀不少变种。。。

照病毒库来看   应该是依特征码不同而有不同的查杀效果   有的一段特征码可以查杀10来个   有的只有1个也有

miss100

原帖由 EQ2 于 2007-2-13 22:09 发表


区别还有有的
中国厂商灰鸽子多数都用Gpigeon来命名，而国外厂商用三种Gpigeon，huigezi，gray bird。。。。而且就是熊猫烧香的命名也不同。。。国产杀软通常是nimaya或者是whboy，国外杀软是fuckjacks。。。。

你可能误会了我说的命名的意思了   我指的的命名是NOD32一个病毒和它的变种只算一种    而其他一般杀软一个病毒和其变种可以算无限的命名区别

yitiaoxiaohe

楼主的这个分析很在理，学习了。

The EQs

因为如果有变种。。。但是病毒库当中没有记录这个病毒，特征码和另外一个很像，这时候启发式就会报a variant of XX

ly250094040

a variant of XX是报的已知

probably a variant of XX才是报的启发