收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 ESET(NOD32) 漫谈NOD32病毒库与其他杀软之比较
12下一页
返回列表 发新帖
查看: 4796|回复: 18
收起左侧

[转帖] 漫谈NOD32病毒库与其他杀软之比较

[复制链接]
fanrubin
头像被屏蔽
发表于 2007-4-25 11:29:58 | 显示全部楼层 |阅读模式
以前一直对NOD32的病毒库有些疑问,为什么它每天更新的病毒库中病毒名最后面会跟着一个括号以及不同的数字,比如Win32/TrojanDownloader.Zlob.ARP (9), 现在对于这个问题,我已经通过http://www.nod32sse.com/这个地址已经得到答案了,如图所示

我们可以发现2056这次的升级如下:30 signatures added (60 variants)翻译的结果就是添加了30个签名(60个变种),由此我们可以知道了,NOD32病毒库升级中病毒名后面的括号中的原来是变种数,也就是说比如上面那个病毒,NOD32这次更新添加了这个病毒的特征码,同时它可以查杀9个这个病毒的变种,而不需要对这个病毒的其他变种做另外特征码的添加。那么什么是变种呢?很多人会有疑问,我就谈一下我对病毒变种的认识
我们以风靡大陆的viking病毒为例,如图所示:

NOD32病毒库中包括了196中viking病毒,也就是说,以nod32的立场来说,它们发现的viking病毒有196种,其他的viking病毒都是这196个病毒的变种。再简单点就是说就是,截至现在,这196中viking相当于是母体,其他所有的viking病毒都是依靠这196个病毒所衍生出来的,他们或是通过加壳或是花指令等或是修改特征码等,但是万变不离其宗,它们和以上的196种就是脱离不了关系,并不是一个新源代码所产生的新病毒,所有说这就是变种,而不是新病毒,只能归入其母体命名。
但是就是由于NOD32的这种命名方式,使得其病毒库在一些人眼中变成了小病毒库了,因为变种在NOD32的命名当中,它不给予新命名,而是以其母体病毒名的变种形式而存在,我们在反过来看看其他杀软的情况看(本来我准备收集国外各大杀软的在线病毒库更新列表来做比较的,但是国外各大杀软更新列表很难找到,而且我发现其实外国各大杀软的病毒命名其实和国内三大的命名也差不多,所以这次只以国内的三大其中的两大来做比较,其中江X的在线更新列表找不到,也作罢了)
我们来看看X星的这次更新:http://it.rising.com.cn/Channels/Anti_Virus/Upgrade_Report/2007-02-09/1171010607d40490.shtml   单单一次就增加了349个病毒查杀,国内安全形势严峻啊~~~~~
我们再来看看X山的这次更新:http://www.duba.net/virus/updata/2007/02/09/103583.shtml  一次更新增加了比X星更多的查杀,达到了381个,单看数字相当的恐怖
如果我们仔细看看他们添加到病毒库中的病毒,我们可以发现单单就是那么一次更新,X星和X山分别对新灰鸽子木马新加了100多以上的更新,而且有意思的就是x山的病毒命名后面跟着的数字,我怀疑这些数字可能是样本上报时的大小,大小不同的在X山的眼中也就是一例新病毒。我们真的很奇怪,国内一天真的有这么新版本灰鸽子产生以及泛滥吗?以这种形势来看,国内两大病毒库中是否灰鸽子比例就占了绝大多数?我们不禁要问,这些灰鸽子都是新泛滥的新出来的灰鸽子吗?答案不是,这些灰鸽子应该99%都是老鸽子的翻新,而就是这些老鸽子的翻新样本,而杀毒软件以这种形式添加病毒库实在是有点为了充数的感觉。可能他们添加的这个灰鸽子样本在整个互联网上可能都只有一个(这个不是没有可能,因为无聊的人并不少)。由于杀毒软件公司没有这个能力做到可以检查这个样本是否具有广泛性,使得可能一些病毒库中的特征码可能在它添加那天起就没有机会遇到这段代码的那个病毒,而在一般用户眼中,他们所看到的只有一个在无限膨胀的病毒库,他们永远不清楚这个病毒库中到底有多少水分,他们永远不清楚这个病毒库看似庞大,他到底有多少效用
综合以上所述,我只想告诉大家比较病毒库大小真的没什么意义,一般杀毒软件的病毒库以X星等这样的命名方式,想要达到几十W其实完全都不是问题的,而拿这种命名法和NOD32病毒库来做比较是否具有可比性?
以上都是我个人的想法,有什么错误的地方希望大家能够指出来,我也只是菜鸟一只。(完)
回复

举报

The EQs
发表于 2007-4-25 11:31:14 | 显示全部楼层
似乎是很久以前的帖子了
回复

举报

紫天
发表于 2007-4-25 11:39:09 | 显示全部楼层
火星了,
回复

举报

坐在墙头
发表于 2007-4-25 12:41:09 | 显示全部楼层
火星帖也有价值,好让XX们不再把NOD32的病毒库跟XX们的比较
回复

举报

mhj144007
发表于 2007-4-25 15:22:03 | 显示全部楼层
原帖由 坐在墙头 于 2007-4-25 12:41 发表
火星帖也有价值,好让XX们不再把NOD32的病毒库跟XX们的比较


说到点子上了哈!!!
回复

举报

傻猪猪米走鸡
发表于 2007-4-25 17:07:39 | 显示全部楼层
至少喔又学了一些东西,谢谢lz
回复

举报

gx204
发表于 2007-4-25 17:08:28 | 显示全部楼层
有些道理,看过之后不用再对NOD32少得可怜的病毒库耿耿于怀了。
回复

举报

傻猪猪米走鸡
发表于 2007-4-25 17:09:57 | 显示全部楼层
至少喔又学了一些东西,谢谢lz
回复

举报

xffsfy
发表于 2007-4-25 19:32:07 | 显示全部楼层
X山杀鸽子很有一套的~~~
PS:那NOD32脱不了的加壳毒咋办?算新的还是算变种?
回复

举报

hlm444
发表于 2007-4-25 21:39:13 | 显示全部楼层
还未发现啊 
呵呵 
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 03:50 , Processed in 0.142957 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表