论增强本地引擎脱壳效率与云端解决方案

蓝天白云520

之前看到一个帖子，说国内厂商的杀毒引擎都不咋滴。将一个样本使用Themida加密之后，国产引擎都不报了。

经过真相帝的研究，发现该帖图示之上，国外引擎对加壳样本的报毒基本都是报壳而不是报本体，也就是说这些厂商只是把壳的特征加入了病毒库，而不是真正脱掉了壳。在这一点上，传统杀毒软件有两个解决方案（HIPS暂不列入其中）：

一、加强本地引擎的能力，增强脱壳和启发技术
二、运用快速入库的方式来缩短不报的时间

增强本地引擎的脱壳能力本应该是最方便的方案，因为威胁在本地即可解除。但问题是这样一来必然会导致本地资源占用变大，杀毒软件变得很臃肿，并且本地脱壳技术更容易被针对性绕过。

根据白羊的说法：“大众软件一般是不会这么加壳的”，我其实也表示赞同，但是加壳并不限于Themida这一种，有很多私人软件为了防破解都加了壳的，有的杀软就对这些软件也报毒，于是总是搞得软件作者要频繁上报解除。所以我在这里还是觉得比起机械报壳来说，还是增强云端行为分析，快速响应才是最好的解决办法（当然本地有行为检测更好）

而快速入库，或者说直接将T壳特征入库，又会造成极大的误杀，这也是我们所不能忍受的。

请看测试：

首先是一个无毒样本，上传至多引擎检测：



基本不报毒。

用Themida加壳：


报毒率陡然增加了！而严格意义上来说，这就叫误报。

然后将一个有毒样本上传检查：


注意看报的名字大多是恶意程序。然后用Themida加壳：


可以看到绝大多数杀软报壳了，甚至出现了加壳加密之后报的杀软更多的神奇现象。

并且我们可以看到，其中AVG、AVP、CA、CPS、DW、BD等报的名称与之前那个无毒加壳样本报的一模一样。可见这些杀软全部是把Themida壳直接加特征，凡是带T壳的一律报毒，这样的方式，显然是极不负责任的。

国内云安全厂商金山、360选择了另一条道路，在兼顾轻巧和快速反应、低误报上，保证了较高的安全性，这就是云安全的好处。

将有毒样本给金山扫描，报毒：


将其加壳，金山不报（注意时间）：


在两分钟之后，云响应完成，报毒（土豆丝同学提到这也是报壳，我想他是对的……因为packed确实可以理解为被加壳的意思。但之前我测试一个样本是确实报得和加壳前本体一模一样，不过既然丢失了样本，就不提了）





国内另一家云安全杀软360杀毒的云端快速响应也拥有相似的效果，360杀毒运用的BD引擎我们也看到了，属于报壳的引擎之一。当运用了云安全之后，显然360杀毒的误报率会因此大大下降了。

云安全确实是解决本地安全强度和资源占用比较理想的工具之一。在未来的一天里，当本地防御完善之后，云安全将替代本地臃肿的病毒库，来执行对用户计算机安全的保护作用。过于迷信外国产品是不对的，我们要始终对自己的国产产品拥有希望和信心。

zyh6036

我想知道那个不该报的样本加了壳之后金山报不报
PS：本人非常支持报壳，没见过正规公司的大众软件加壳加成那种样子的

396805331

过来看看

jinzijie

同上

MagicFuzzX

在两分钟之后，云响应完成，报毒，并且报的名称与本体基本一致（不是报壳），说明云端脱壳成功：

我不信用TMD的VM后，你金山能自动脱壳

langzi2009

确实国外的东西做的都没有中国人仔细，杀软未必好到哪里去

qq2008

如果某种壳在正常软件上几乎不使用的话的  `~~直接报估计也没什么关系  估计只有"不怀好意的软件"才会去加那个壳

蓝天白云520

回复 2楼 zyh6036  的帖子




360安全卫士看来是BD的引擎启发报毒了，看云安全会不会及时反馈一下安全

这个，看看就好。按版规是不能这么发帖子的。

cxbii

支持!!文章写得好!!

rasis

本地脱壳还是有必要的