再论样本区的意义

绅博周幸

上次曾经说过样本区只是一个参考，不能绝对相信，但是这里还有一句后话就是也不能不信。两句话看似矛盾，但是其实不然，今天就以这个起个头，来谈谈到底该怎么看待样本区：

样本区的作用是提供一个给大家测试病毒了解杀软的平台，同时上报病毒样本给各大杀软厂商以便及早查杀。不能绝对相信样本区的原因已经说过（不具广泛性），但是不能不信样本区的理由这里要好好说一下，也是这个帖子的重点。有些人总是抱怨样本区老有人搞免杀，搞的某些杀软侦测率大幅度下降，所以不相信样本区样本能够衡量一个杀软，这话只说对了一半，不能以偏概全是没错，但是样本区的免杀样本实际上是模拟了病毒作者做的免杀样本，免杀其实也就是这几种方法：加壳，加花，改PE入口点，针对杀软改特征码。这几种方法可以单用，也可以混合用，总之变换无穷，高手作出来的免杀100％过任何杀软。言归正传，样本区搞的一些免杀样本其实可以看作是对杀软的一个模拟考试（真正的病毒作者免杀其实也就是这么做的，样本区的免杀样本参考了病毒作者免杀病毒的思路），模拟考试虽然不能说明你正式考试的成绩，但是8，9不离10，如果模拟考试多次不理想，正式考试恐怕也是凶多吉少，鲜有模拟考试不行的，到了正式考试就突飞猛进的例子。所以还是要本身基础好，底子够硬才行。如此说来样本区其实就是给各大杀软的一个模拟测试，模拟测试不好的不一定在正式考试中一败涂地，但是模拟测试好的在正式考试中基本上是十拿九稳了（没有100％捡出率的杀软）。还有就是样本区不全是带有刻意性针对某些杀软的病毒，绝大多数还是卡饭在真实环境中截获的，有刻意性的样本和真实样本的比例基本上保持在7：3，也就是说真实病毒占70％，有免杀倾向的样本占30％，这个是从样本区全部病毒样本统计出来的大概结果（有些样本无效，没有一一测试）。不管是真实环境中的样本也好，还是专门搞的样本也好，大家最好能够一视同仁，以前，包括这个帖子开头部分的说法可能歉妥，希望大家能够原谅。即使是专门搞的样本，只要能够运行，上报各大杀软厂商后它们一样收入病毒库，没有任何歧视，所以喜欢测试样本的卡饭，既然测试了样本区的样本，就说明还是信任样本区的，至少不会100％不信样本区的样本，所以关于样本区衡量杀软，还是理性看待，要多方讨论的，不一下子说不权威，也不能武断的说样本区测试的结果代表了某个杀软不行。最后希望大家多多支持卡饭样本区，还有就是不要在样本区打口水战啊，这个星期已经接到多次帖子的举报，可惜前段时间论坛服务器有些问题，未能及时处理，这个希望大家能够谅解，谢谢。

[ 本帖最后由 绅博周幸 于 2007-4-14 02:49 编辑 ]

剑指七星

这篇文章发到样本区    置顶恐怕更好
如果嫌单薄的话       写成一个系列也不错

The EQs

对LZ再次无语ing
还有就是样本区不全是带有刻意性针对某些杀软的病毒，绝大多数还是卡饭在真实环境中截获的，有刻意性的样本和真实样本的比例基本上保持在7：3，也就是说真实病毒占70％，有免杀倾向的样本占30％


世界上哪有那么多真实的病毒？？？LZ竟然这么夸大的说。。。如果一个月样本区有1000个病毒，那么真实的病毒就有700个？？？所有杀软厂商都不敢这么狂妄的说。。。。LZ真是大胆。。。。wildlist当年的统计不知道你看了没有。。

The EQs

全球每年新增的病毒才那么少。。。你就这么肯定一个样本区的真实病毒有这么多。。。服了你了。。

绅博周幸

原帖由 EQ2 于 2007-4-14 02:54 发表
全球每年新增的病毒才那么少。。。你就这么肯定一个样本区的真实病毒有这么多。。。服了你了。。

现在的病毒通常指的是VIRUS，木马，蠕虫，广告，间谍，后门，电子邮件蠕虫等混合威胁，以上这些统称为病毒。VB100那个什么WILDLIST只是包括VIRUS，不含其他威胁，再说那个LIST里面也没有包括全部世界上全部的在野病毒。现在的病毒基本上以木马（后门归类为木马），蠕虫还有广告居多，如果EQ兄认为除了VIRUS外的威胁不是病毒的花，那瑞星为什么要杀木马？？瑞星不是叫瑞星杀毒软件吗？？还有NOD32也是，既然是NOD32防毒软件，只防病毒就行了，还用的着防木马吗？？答案是否定的。由此可见现在“病毒”这个词并不是纯指VIRUS。

The EQs

你说的病毒不就是光指病毒吗？？？如果要算上木马的话。。。请另外说明。。。

绅博周幸

自己看看红伞对于Virus Science（病毒科学）的解释吧
http://www.avira.com/en/threats/virus_science.html

现在的病毒就是混合威胁

The EQs

有些厂商的病毒和木马不是一个概念。。。有的厂商直接将木马归到病毒的一类。。。

绅博周幸

原帖由 EQ2 于 2007-4-14 03:05 发表
你说的病毒不就是光指病毒吗？？？如果要算上木马的话。。。请另外说明。。。

你这个是钻牛角尖，瑞星杀毒，NOD32防毒，不也就是叫杀毒软件吗？？他名字上有指杀马，杀广告吗？？发现EQ兄总喜欢转移话题

剑指七星

好像现在广义的病毒
是包括木马的