我不看好微点扫描 [zt]

绯你不乖

作者nasdaq

前言：我在准备《微点不是病毒终结者》的时候，又琢磨了一下扫描引擎，结论是我个人不太看好微点要推出的扫描引擎。把想法整理出来和大家一起讨论，欢迎朋友们批评指教，共同提高。

一、什么是脱壳
脱壳对于杀毒软件的重要性，是毋庸置疑的。究竟什么是脱壳呢？这要从加壳谈起。本人才疏学浅，我觉得加壳的目的一般来说主要有两类，一是压缩应用程序体积，譬如说很有名的upx压缩壳；还有一个就是为了加密保护应用程序，防止程序的资源被盗用或是被破解，这类壳关注的热点是尽可能避免被脱壳还原出原始程序。无论什么目的，加壳的结果是加壳后的程序将变得和加壳前不一样。

正因为加壳可以使程序文件发生变化，那么把加壳应用到病毒程序上，就可以干扰特征码扫描引擎的判断。因为一般来说加过壳的程序，原始的程序文件就被改变了，所以原有的特征识别方案自然就无效了。当然特征扫描引擎可以用带壳提特征的方法来实现查杀被加壳的已知病毒，但是带壳提特征这种方法实属亡羊补牢，典型的治标不治本。带壳提特征的扫描引擎，一个原始样本加多少壳就衍生出多少个所谓的新变种，这样玩儿下去的话，杀毒游戏还有尽头么？莫忘了理论上壳的数量和种类是无限的，写出一个很棒的壳是很麻烦的事情，但是瞎糊弄出一个只为了改变程序本体，从而暂时逃避带壳提特征扫描引擎追杀的壳，绝对不会是太麻烦的事情。

正是因为带壳提特征十分被动，于是乎，杀毒软件们普遍都很重视脱壳工作，而脱壳的能力也是我们衡量一款杀毒软件杀毒能力的重要标准之一。


二、常见的脱壳方法
有矛就会有盾，常见的脱壳方法主要有两种：算法脱壳和虚拟机脱壳。

算法脱壳，简单说就是加壳算法的逆运算。
优点：效率高，脱壳速度快。
缺点：1.滞后性，只有在详细分析加壳算法后，才有可能写出脱壳算法；加壳算法稍有更新，脱壳算法就必须要进行相应更新。
      2.很多加壳算法的防范反汇编工作做得非常好，数学加密算法也非常棒，我不敢说绝对写不出脱壳算法，但绝对是极大的增加了写出完善脱壳算法的难度。出于效率原因，如果研究一个脱壳算法需要耗费非常长的时间，那么这个加壳算法就可以认为是不可脱壳的，时间是宝贵的，哪家公司也托不起。

虚拟机脱壳，简单说就是创建一个虚拟环境，将程序或是部分程序虚拟运行，由程序自行运行完成从而实现自动脱壳。虚拟机脱壳，实际上是建立在一种心理假设的基础上，虚拟机假设所有加过壳的程序其最终目的都是要正常运行，而加过壳的程序正常运行的前提条件是必须要自行脱壳还原成程序本体。我认为这个假设是成立的，所有给木马加壳的人的目的，都是为了躲避杀毒软件查杀且木马能正常运行发挥作用，除了某些技术bug造成的原因使得木马无法运行，没有人会刻意搞出一批死木马来给大家搞笑用。
优点：虚拟机理论上是可以实现广谱脱壳的，即脱掉所有的壳！
缺点：虚拟机的虚拟运行特性，使得虚拟机脱壳的资源占用较高，脱壳速度较慢。好消息是Intel和微软准备在硬件层面支持虚拟技术，这样就会使得虚拟机获得几乎和真实机一样的程序运行效率。具体支持VT的型号我没太注意，有兴趣的朋友自己去查相关资料吧。

PS：虚拟机并不是什么全新的技术，在DOS时代的加密变形病毒就已经用到了简单的虚拟机。有兴趣的朋友请看下面这篇文章。呵呵，去年在微点论坛，calm_cs大哥强烈推荐的，稍微长了点儿，但是小弟看完后真的受益匪浅。
http://www.jijiao.com.cn/avtech/antiVtech/00000021.htm

光说不练那是假把式，下面来看一下杀软们的真实表演吧。我在绅博看到的下面这个转载太平洋的帖子，真的给我非常大的震撼。我真的没想到，所谓的国内国外著名公司的杀毒软件们，著名的虚拟机们，网络上被风传可以脱上千种壳的超强脱壳引擎们，在扫描同一个样本加不同的12种壳时，无一例外，全都自觉地漏出了带壳提特征的马脚。同一个样本加不同壳，为什么会扫描出不同的病毒名称？这壳究竟是脱了还是没脱？我猜杀软们永远都不会正面答复这个问题，因为答案是带壳提特征。 http://softbbs.pconline.com.cn/topic.jsp?tid=6087616

希望大家用事实来交流，咱们中国人太容易被网络流言欺骗了。我在去年也非常推崇那个可以脱上千种壳的超强脱壳引擎的引擎架构，我曾经很为它处理复合文件格式的超强能力所倾倒。真的是希望越大，梦醒了失望也越大。


三、我眼中的微点扫描
太平洋那个帖子给我的震撼真的是很大，帖子是去年10月的，我大概是在今年年初在绅博才看到的转贴。如果是少数杀软厂商带壳提特征，多数都可以很好地脱壳，那我会非常坦然地接受，因为不同厂家技术上存在有差异是很正常的。但是，非常遗憾，居然没有一个厂家可以做到完善的脱壳，甚至包括那些网络上风传的国内国外著名的虚拟机技术。太平洋一个无意中的帖子，内涵很丰富呢！可能是因为低调吧，至少我觉得Symantec和McAfee的扫描引擎比我想象的要好，而俄罗斯两兄弟的引擎，只能说让人有些失望。怪谁呢？只能怪网络中吹得太猛了，到处都在说俄罗斯两兄弟的超强脱壳技术，超强引擎…………

我觉得做主动防御和做扫描是不一样的，主动防御目前主要就是一个微点，先入为主，无论微点做得怎么样，它都是这个行业的第一，而后的再来者也只好模拟微点目前的形态；但扫描就不一样了，扫描基本上每家杀软都有，参照物太多了。既然那么多大公司都不行，那微点这么一个小公司又凭什么能做出突破呢？

所以，我个人并不看好微点要推出的扫描引擎。本来微点的程序实时行为判断在对付加壳的问题上是非常具有优势的，因为行为分析对加壳加花等干扰特征码判断的免杀方法都是天然免疫的。我越发不理解微点为什么非要去碰扫描引擎这个大钉子？只是为了迎合用户使用习惯方面的需求？

PS：补一句，目前微点实时监控对已知病毒的扫描似乎没有加入脱壳技术，我想是因为微点目前的形态根本不需要脱壳机制，微点的行为分析对加壳是天然免疫的！就像前面说的，所有加壳后的病毒在真实环境中运行的第一件事就要自动把自己的马甲脱掉，然后执行程序本体，微点会在这个时刻跳出来干掉它。把话都说明白了，免得有人会用微点已知监控也在用带壳提特征来混淆概念。当然还会有一些特殊情况，譬如说加壳出问题做出的死木马，在任务管理器中的形态是进程闪了一下就退出。这个退出和常见木马的自动退出是不一样的，但是外在表现又差不多，对于这种情况，微点是不会报警的。这时候，建议大家把样本直接发给官方测试，毕竟不是每个人都会分析程序退出原因的，微点也不是万能的，谨慎一点比较好。

也许“明知山有虎，偏向虎山行”是刘旭一贯的风格吧。微点已经树立起难能可贵的高技术形象，希望不要被扫描引擎拖了后腿，影响了主体形象。希望微点能够走好。有兴趣的朋友等微点出了扫描，自己去做测试吧。我怕失望，这次就不自己试验了。

我个人的意见是由于众所周知的原因，微点的资源本来就不富裕，更应该优先调配资源搞网络版，由于微点的架构很独特，所以微点网络版的可管理性可扩展性必然都会非常出色，网络版的优势将非常明显！扬长避短才是上策！

篇后：目前尚缺乏理由看好启发式
启发式非常需要完善的脱壳技术作启发式分析的前期准备，因为只有将加过壳的程序还原为程序本体之后，对静态程序代码进行动态分析的启发式才能真正发挥出它的应用意义，发挥出它分析未知病毒的能力。对于那些脱壳不完善，见到壳就报警的启发式，我们该怎么称呼它们？是不是把它们称为假启发才更合适一些呢？请这些同志就不要给启发式丢人啦！好好的一个技术方向被你们做成了今天这样。就凭脱壳不够完善这一点，我在很长一段时间都没有办法看好启发式，除非先解决好脱壳问题。当然，打着启发式的幌子混饭吃还是不错的，人类社会就是这个样子，无论东西做得多不好，总能卖出去，也总会有人买。

网友Vader做了这样一个关于加壳的复杂测试：测试使用一个绝对正常的文件，用各大著名杀毒软件的在线杀毒测试，当然一切正常没有发现病毒。然后加壳用杀毒软件们扫描，结果真挺逗的，有兴趣的朋友自己看人家的原始试验资料吧。
http://publish.it168.com/2006/1213/20061213016905.shtml

PS：呵呵，最近发现IT168挺有意思的，不怕压力，敢说实话！等我先把手头的专栏做好，以后有机会找IT168骗稿费撒。



作为微点测试用户来说 我完全支持微点自主研发的扫描引擎 很好奇！ 但说实话我不太看好微点的扫描  微点自主研发的扫描引擎我想可能有2种答案：

一种就是随大流 传统的“带壳提特征”（见壳就报 管你是什么正常程序 扫到壳就是病毒）

第二种可能性比较小 扫描引擎像微点的主动防御技术一样 与众不同 实力超群

其实想一想 扫毒软体们的看家法宝就只有扫描~  要是天天扫下下就能很好的解决安全问题 现在也不会有这么多中毒中木马的用户了  目前受制于某些原因 至今还未上市的微点自主研发的扫描引擎真能超越他们？  我感觉微点更多的是为了考虑广大用户的习惯需求 扫描在当前是必须的 对主动防御也算是一个有益的补充吧。

论坛砖家

我看刘旭的脑子一定比楼主更简单，微点的研发队伍其技术水平也一定在楼主之下，天下没有一款杀软的扫描功能能入楼主法眼。

jpzy

扫描器可能是为了那些觉得文件不可能有问题的使用者准备的！不过加了扫描器，微点越发不像HIPS了～！

jpzy

原帖由 论坛砖家 于 2007-4-4 16:29 发表
我看刘旭的脑子一定比楼主更简单，微点的研发队伍其技术水平也一定在楼主之下，天下没有一款杀软的扫描功能能入楼主法眼。

有问题讨论问题，不要针对个人嘛～！楼主也是转的帖子啊！

野马

本人不喜欢扫描！

但是听说是新家伙，所以期待了好久...

野马

这个贴子是：

nasdaq原创

反黑先锋 转微点论坛并加尾注

楼主转卡饭。

aoyang

没扫描的始终不放心，不要说微点就不需要什么扫描了。
上个星期，我的同事说他的电脑好象中了木马，因为他的跑跑卡丁车的金币常常会莫名其妙的不见了，总之就是一到了1W金币的时候，就会不见了。我说你换微点试一下了，换上微点，然后更改了卡丁车密码。不过情况依旧，金币共被盗了几万。过两天准备重做系统了

woshilizhongqi

喜欢微点...

w6903608759

以后不想再用它了

メ封__杺☆

呵呵微点不是说了嘛.他的不是hips