强烈驳斥说红伞乱报壳的说法

绅博周幸

RT，最近又掀起一股说红伞乱报壳的说法。这里偶绝对要驳斥这种无稽之谈，对红伞没有深入了解就草率下结论。有很多病毒样本红伞会报TR/Crypt.NSPM.Gen，这个虽说是报壳，但是和一般的报壳不一样。原因是偶遇到这种样本时起初也认为红伞可能只是报壳，应该把样本送红伞公司鉴定。但是每次红伞都回复说这个病毒样本已经被引擎中的特殊模块侦测到了，所以不必入库了，因为这个是智能基因启发，红伞公司能够极为确信样本为恶意程序，所以几乎（应该说是肯定）不会误报。而当红伞报HEUR/Crypt（未知壳）的时候，这个时候上报样本，红伞公司的病毒分析师会把样本命名为已知病毒入库的。还有第三种情况就是正常文件加壳，红伞也不报的。


总结：红伞对于壳的处理是非同一般的，绝对不是一般杀软可以比的，红伞的报壳报的很聪敏，极少误报，并非乱报壳。红伞对于壳的处理分三类：

1.未知壳（这类壳有误报的可能性），需要上报红伞鉴定。
2.智能基因启发报壳，这类样本无需上报红伞，红伞公司是不会分析的，因为他们很相信这种启发报壳对于恶意程序的鉴定，被这种基因启发所侦测出来的代壳样本可以肯定100％是恶意程序。
3.不报壳，大家不信试试，给一般的正常文件（前提是这个文件绝对不能够代有病毒行为，如给一键GHOST的文件加壳让红伞处理）加壳，红伞绝对不会报的。


实践出真知，这些结论是偶长期给红伞上报病毒，做免杀样本得出的，红伞的确对壳有不同的处理方式，不像费尔是见壳就报，也不看看到底是怎么回事。报壳要聪敏，要报的理智，红伞就是这样的典型例子，误报当然有，但是红伞已经将对于报壳产生的误报降到最低限度（偶认为还可以降），同时将对于加壳木马的检测率提高到最大限度，一定程度上弥补了红伞脱壳不是很强的缺点。


PS:摆脱大家了解一下，不要草率下结论啊，红伞不是这么简单的，要长期摸索的，要彻底了解红伞光软件还不够，最好还要了解红伞公司的历史，红伞的历年成绩，最近有何进步，公司产品信息等等了，一言难尽啊，偶现在也还只是了解到红伞的皮毛啊，惭愧，惭愧

绅博周幸

说来说去只有第一种情况有可能误报嘛，再说红伞有个保险的，就是当文件有病毒行为的时候，如果不加壳就报是未知恶意软件，如果加壳就报未知壳，所以如果一个文件没有病毒行为，你就加壳吧，红伞是不会报的，这也就是文章种的第三种情况。

结论：红伞对于壳的误报率是很低的，红伞的误报多来源于对特征码提取的不精确以及病毒行为的判断 ，这个才是红伞要改进误报的地方

周杰伦

是的，红伞并不会乱报壳啊，请大家不要听信谣言啊

绅博周幸

欢迎大家询问偶关于红伞的各类问题，偶一定尽最大努力释疑，不过偶也是个红伞初学者，不对的地方在所难免，请大家不吝之症

Oceanzd

你加个ASP试试……

danfeng97

原帖由 绅博周幸 于 2007-3-13 11:11 发表
欢迎大家询问偶关于红伞的各类问题，偶一定尽最大努力释疑，不过偶也是个红伞初学者，不对的地方在所难免，请大家不吝之症  

真谦虚……
有问题一定找你

The EQs

LZ这种人是什么呢？？自己不信去试试看。。。随便加个壳红伞立即报HEUR/Crypted，再加个红伞不认识的壳直接报TR/Crypt.NSPM.Gen。。。。LZ根本就没试过。。

绅博周幸

原帖由 Oceanzd 于 2007-3-13 11:12 发表
你加个ASP试试……

加吧，偶做免杀用过很多壳的，所以对于红伞报壳的情况还是比较清楚，加壳工具偶用了不下50个，经常要变换组合的，偶还有特征码定位工具，加花器，这些都是免杀必备，不过都是从黑客论坛搞来的东东

The EQs

偶尝试过加北斗＋冰风。。。红伞报TR/Crypt.NSPM.Gen。。。然后尝试过北斗＋仙剑＋ASPACK直接报TR/Crypt.NSPM.Gen。。。。

绅博周幸

原帖由 EQ2 于 2007-3-13 11:19 发表
偶尝试过加北斗＋冰风。。。红伞报TR/Crypt.NSPM.Gen。。。然后尝试过北斗＋仙剑＋ASPACK直接报TR/Crypt.NSPM.Gen。。。。

你那个样本偶看过了，本身就是病毒，你加壳红伞照样报难道不对吗