红伞启发集中讨论帖

jimmyleo

最近伞友们开始浮躁了。
开始不顾客观一味吹捧红伞了。
如果我们平心静气地看待红伞，
其实它还是存在这样或那样的很多问题。
与其做无谓的口水战，
不如坐下来用事实说话，用实践证明。

如果能在讨论之中
了解摸透它的运行原理，
那么就知道它是否真的在这方面是领先的；
如果发现它的漏洞，
整理后上报给官方，
也可以督促他们改进。

讨论监控问题的可以到
http://www.kpfans.com/bbs/viewthread.php?tid=52942&extra=page%3D1



这里我们来讨论下红伞的启发问题
有很多人问红伞的脱壳能力怎样，和谁谁比怎么样。
问红伞启发怎样
……

如果我们了解了其原理，一切也自然明了了。

大家可以就这些问题讨论：
究竟什么是启发报；
病毒库有没有带壳入库；
是如何判断加壳的；
启发查杀的效果问题；
启发的文件代码率；
等等
自然也可追加话题



任何无关，吹捧，牵扯到其它杀软的争辩或者非技术的回帖一律删除。

jimmyleo

留楼备用

jimmyleo

翻出海洋兄的老帖子做为引子

从报名分析，红伞的“启发式”被大家笼统的归结为防火墙“报”了，也就是扫描产生的报告，非属于已知病毒的类，皆归为启发式，这一定是误区。

Antivir对非已知病毒的报告大致分为这4类：
Heuristic/Exploit.HTML (probable variant)
Heuristic/Malware (probable variant)
HEUR/Malware
HEUR/Crypt

其中前2类，是真正的启发式，后两类，极有可能是报壳。

第一类Heuristic/Exploit.HTML脚本启发比较容易做到，报告率很高，误报率也很高。
第二类Heuristic/Malware属于启发式，Antivir偶有报此。

第三类和第四类是最常见的，量很大，经常可以见到Antivir“启发了”的帖子，进去一看是报告如此。

我觉得报此的，是见壳就报。

不知道启发式开到“高”进行测试的朋友，是不是扫描一次机器，就会报告很多个“启发式”属于第三类与第四类。


发现的第二个现象，多引擎是否在“作弊”？

多引擎的问题有些人恐怕知道，和单机版是有很大差距，特别是在启发式方面。

Panda的误报率之前很多时候被人理解很高的原因是多引擎几乎每每都能启发，单机版却不能，原因现在我大概知道一二：多引擎除了单机版所具有的启发式，还多了报壳！

看来惊人的相似，为了吸引“眼球”，厂商们在多引擎里面做了很大的文章。

以Antivir的多引擎来说。

这个样本
File: rising.rar
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 0c42f747cf9d461b47c30fe4740440ec
Packers detected: PE_PATCH, UPACK 壳
Scanner results
AntiVir Found Heuristic/Malware (probable variant)
ArcaVir Found Heur.Win32
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Dropped:Generic.Malware.dldspg.8CC1FAAB (probable variant)
ClamAV Found nothing
Dr.Web Found BACKDOOR.Trojan (probable variant)
F-Prot Antivirus Found Possibly a new variant of W32/Threat-SysVenFakU-based!Maximus
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found a variant of Win32/Agent.NEO
Norman Virus Control Found nothing
VirusBuster Found nothing
VBA32 Found nothing

在多引擎上面写的很清楚Heuristic/Malware (probable variant)，Heuristic 启发式发现了。

但奇妙的事情是，单机版报告：Starting the file scan:
-> rising.exe
  [DETECTION] Contains suspicious code HEUR/Malware

这样的结果，恐怕我之前从来没有想过，谁来分析一下吧。

那么可以这么说
HEUR/Malware 属于启发式
HEUR/Crypt

如果想要增加启发式的能力，是否让AV报壳即可？

现在终于有点明白Wilderss上反病毒厂商对一个组织测试 AV对加壳的扫描能力的反应强烈，甚至感觉加壳的问题

已经上升到一个极其敏感的话题，又为何国内某些AV最近版本增加查壳的能力，在国际某启发式大赛上

面大现光彩，获得第六名，难道其的“查壳“能力，只是为了提高启发式，而真正加了壳的病毒却都查不

出！！因为其能查壳但却无法解壳，无法解壳也根本无法判定是否是病毒。

却在这个组织的“查壳测试”中名列3流（再说的明白点，解壳属于吃力不讨好的工作，对解壳的研究，远远

比那些能查壳的研究要更深的多，怪不得F-port的技术员说道“解壳能力的真正好坏，就在于程序员是否花

大量的时间、精力放在上面。试想见壳就报，这样实现的难度比脱壳的难度简直小太多了，实现脱壳的软

件，在启发式测试里面肯定不如见壳就报的软件，尽管你再能解壳，解的数量也是有限的，而查壳就不同

了），原来奥妙在此！呵呵，我没有走入误区吧？

还有很多联想，比如卡巴的引擎，解壳与启发式没有挂钩，卡巴的启发式为何迟迟不来，是对李逵的蔑视

吗？我决不怀疑Kav的研发能力。期待卡巴的启发式。

这样真启发和真报壳都可以提升所谓的“启发式”能力的话，真假李逵的区别应该明显的表现在：启发式的误报率。

看来以后的测试，要多关注误报率的测试了。

antivir解壳的能力不差，至少大多数流行的壳没有问题，而且技术上也有独到之处。
http://www.wilderssecurity.com/s ... 77&postcount=44

当然和kav还是有一定的距离。

我见过antivir直接对某些病毒报壳（直接报出壳的名字），比如packer/mew, packer/expressor, (不知道名字有没有写对）。

crypt是在报壳，但不是简简单单的，随便乱报的。例子如下，虽然不是heur， 但是gen也是启发的一种，generic detection是随着引擎avewin32.dll升级的. 请主意"combination" 这个词。
http://forum.antivir.de/thread.p ... 4e50cef12a3f8319472
Virus TR/Crypt.F.Gen

There is a post by Stefan Kurtzhals that would translate by Babel Fish this way:

TR/Crypt.F.Gen is a generic recognition of a new, far spread packman/coding combination which is lately very strongly used - from partially very different mark commodity families. Therefore one can say nothing of the message TR/Crypt.F.Gen alone about the effect of the mark commodity. All finds of the generic recognition (Gen Suffix) should be returned exactly the same as messages of the heuristic at Avira for further analysis.


有兴趣的可以看看http://www.wilderssecurity.com/showthread.php?t=149837

lood

对于脱壳，确实没有蜘蛛好。。。。别的没有比过。。。

相关的疑问在这里：
http://www.kpfans.com/bbs/viewth ... page%3D1&page=7

周杰伦

不错，可以讨论，但是不可以口水战哦

The EQs

是的。。。红伞对于加壳文件比较敏感，有时候正常的加壳文件都报。。。。而其他厂商却未报。。。同样是Heur/Crypt，或者是Heur/Malware，说明其对加壳的东西很敏感，也许是这点和蜘蛛相似吧。。。。而且根据偶的估计，红伞用的是静态启发，动态启发就不知道有没有了。。。但是偶怀疑没有动态启发。。如果是动态＋静态启发的话，会出现像nod32一样的情况。。。右键扫描不报，运行却报，这种情况就说明了有动态＋静态启发。。。

lood

我记得有个版本的超级兔子安装包，扫描不报，但是安装的时候报。。。。

The EQs

Kaspersky当时就说了不推出启发式，而推出行为判断的原因，因为怕技术的不成熟会带来很多误报和低查杀效率。。。。在KAV6时代，事实上已经开始启用了启发式，不过没有在正式版里面，是在某些beta版当中，就连Kaspersky官方的人都说我们的查杀效率还是比较低的。。。而virus.gr的测试不说也罢。。。那种测试只要有一个杀软报毒就认为是毒，so很多在偶们眼睛里很LJ的杀软都能排到前列。。。。真的很搞笑的说。。。。殊不知启发式还有误报一说。。就这点来说，virus.gr还算不上是一个权威的机构。。。。

The EQs

单就启发式而言。。。。现在已经有了明确的归类，nod32，vba32和Antivir是该领域的强力竞争者，三者的启发式都相比其他来说高上不少。。。不过vba32目前还算不上一流杀软，毕竟他还存在这种或者那种的问题。。。就目前而言，最有看头的是这三大杀软以后争个你死我活了。。。。不过vba32的劣势非常明显，误报多，扫描速度慢，占用内存多。。。在一段时间内，不会有太大的发展，以后解决这些问题将会是最有力的竞争者，毕竟有强大的启发和脱壳做后盾。。。nod32的情况就是病毒库小。。。其余倒还好，，，，

The EQs

事实上偶可以这样说，现在的评测机构大多数都存在一定的局限性。。。。比如说不能真正的反应一个杀软的检测率，检测病毒种类不够齐全，而且也忽视了反病毒厂商的升级速度。。。。这样比来比去，比到最后也比不出高低。。。还不如根据自己的判断来选择。。