查看: 4183|回复: 16
收起左侧

VirusTotal、AntiVir、说开去…… [原创分析]

[复制链接]
jimmyleo
发表于 2007-3-4 00:10:36 | 显示全部楼层 |阅读模式
转载注明 卡饭/jimmyleo 分析



==引子==

灵异事件 TR/Agent.134029.A

一样本在本地扫描未发现问题,而在多引擎上扫描却得到不一样的结果……
(附:样本地址
http://www.kpfans.com/bbs/viewthread.php?tid=56979&extra=page%3D1&page=2

经过伞友帮忙测试,C演示版 W、P评估版均未报,LOOD兄在LX下用的服务器版命令行模式则得到与多引擎上相同的结果。


………………





说明什么?闪电战会员说难道是LX下的病毒?
我们来找找答案,在NOD32官方网站上我们找到了。
见图一,





在NOD32提供的在线扫描列表里我们找到了VirusTotal。
可见VirusTotal是建立在Win上的服务,而另一个Jotti才是LX下的。
排除了这种可能。


那么接下来我们马上会想到的是VirusTotal使用的究竟是什么版本的AntiVir?
在说这之前,我先要说说相关的另一个问题,那就是传说中的日文版。


现在存在的正统血统的AntiVir只有德语版(母语)和英语版(通用)。
传说的日文版实际是不存在的。
那这误传的消息是哪来的呢,这也绝对不是空穴来风。


有一个日本公司promark。
(晕啊,刚好被水印挡住了……/jimmyleo)
来看看它的产品proscan的介绍:
Since 1988 establishing, development of the anti virus product it went to the center, Germany H+BEDV , the scan engine of the corporation was loaded, technical position of the professional mark developed in for the Japanese market, it is the advanced anti virus solution.


可见它是一个使用了AntiVir的引擎的杀软,类似于芬杀客之于卡巴。
从何判断是否为原来的引擎呢?


Concluding cooperation contract, receiving the supply of the scan engine which forms the nucleus of Antivir.


可见是通过公司之间的交涉得到的所谓核心引擎。
但是没有哪个公司会傻到将本公司的技术毫无保留地卖给别人的。


为什么这么说,并不是主观臆断,看图二。





是AntiVir最近一次的更新历史版本号189,新特征码196,记住落。
我们再看图三,






这是promark网站上的更新历史,同样的版本号189,新特征码108。
马上出结果了,有差别。
我大胆猜想下,AntiVir是通过引擎限制病毒库的调用。
实际上C版与其他版本是共用一个病毒库的,而无法查杀AdSpy,就证明了这个问题。


那现在大家应该知道我为什么要提这个了吧。


大家马上想问的就是VirusTotal是不是相同情况呢?
我去信问了。
VirusTotal的负责人Julio Canto很快的回复了:
jimmyleo问: I want to know you website VirusTotal use which product of AVIRA company?   Personal version or Server version?
答: We use the 'core engine' Avira provided us with, and that probably both products share.


注意一个字眼“probably”,说明他也并不知道具体是哪个版本的引擎,只是所谓Avira提供给他们的核心引擎。再说VirusTotal只是一个免费服务,即便与Avira公司之间有商业利益关系,也只是“contract”而已。故也没有必要提供完全技术。


接下来我就来解释最初的那一现象了。
虽然页面显示的引擎号和病毒特征号都是和最新的一致,但是AntiVir一样可以通过引擎来限制病毒库的调用。
那有人就要说了,有限制么,应该是检测的少了,为什么比其他版本多了?


这里要解释一个概念:
那就是误报,
误报,有两种,
一种是由于启发,这种需要更新引擎。
还有一种纯粹是病毒特征识别错误,这个可以简单地移除或修改该特征码解决。
这些都可以在回复中看出来。
第一种是说caused by our heuristic。
第二种是说a false alarm。


这样一来就解释得通了,只所以VirusTotal扫得出来,就是被限制的引擎调用了本该屏蔽的特征码。


不知还有人记得我之前提到的LOOD兄吗?
他LX下服务器版为什么也报了呢?难道是也做了限制?
当然没有。
虽然是评估版,但是注意,许可信息栏写明running in fully functional mode,全功能。
巧就巧在,大家看LOOD兄的牢骚话(呵呵,不好意思哦LOOD兄,借用下,呵呵),“我的LX现在米法上网(怪电信),老的库,没开启发”。
大家是不是已经明白了,
也就是说他的特征库里并未去除本该屏蔽的误报特征码。
所以就出现了开头的一幕。





结合EQ2所说,NOD32有动态启发,在VirusTotal的静态扫描中无法体现。


总结下我写此文的目的,VirusTotal只适合于测试之用,切勿较真。


深夜打字,定有思路混乱,大家勿怪,呵呵。

OVER。

[ 本帖最后由 jimmyleo 于 2007-3-4 10:09 编辑 ]
jimmyleo
 楼主| 发表于 2007-3-4 00:11:48 | 显示全部楼层

图片



[ 本帖最后由 jimmyleo 于 2007-3-4 00:26 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
Oceanzd + 5 原创内容

查看全部评分

剑指七星
发表于 2007-3-4 00:32:46 | 显示全部楼层
有些推论
还是比较合理的
worker321
头像被屏蔽
发表于 2007-3-4 01:02:16 | 显示全部楼层
楼主分享的比较有道理啊,蜘蛛也曾经出现过这样的情况!!
mofunzone
发表于 2007-3-4 01:28:54 | 显示全部楼层
vt的引擎很早就看出有些问题
至少threat category没有开全
但是jotti开的是全的
所以一直觉得vt的有一些问题,基本做测试我还是以jotti为准的
可惜的是jotti的引擎太不全,我觉得jotti的应该更正统一些
p.s 那文件实际是个误报。。
master_e
发表于 2007-3-4 08:35:25 | 显示全部楼层
终于明白其中的原因!!呵呵
Giggs
发表于 2007-3-4 10:24:07 | 显示全部楼层
技术帖。支持一个。
xiaomudou
发表于 2007-3-4 10:33:51 | 显示全部楼层
支持,虽然我没有看完。
344640219
发表于 2007-3-4 11:29:14 | 显示全部楼层
我看不太懂啊!!
这个难点啊~~~
曲中求
发表于 2007-3-4 12:18:31 | 显示全部楼层
AntiVir是通过引擎限制病毒库的调用。

和楼主不谋而合。。唯一不同的是,我是从离线升级包得到的启发。。。呵呵

很好的原创帖,要支持!

[ 本帖最后由 曲中求 于 2007-3-4 12:19 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 10:40 , Processed in 0.146556 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表