论：启发式的“高低贵贱”

buycard

启发式也分高低贵贱

不能把启发式理解成“脱壳引擎的一部分”，因为脱壳有“脱壳引擎”负责，脱壳的事情不可以放在启发式概念的范畴中。

1）

我们假设病毒文件是一个exe文件，这个exe文件没有壳，而且是所有杀毒软件都不认识的，这个时候，对所有杀毒软件来讲，扫描这个样本只需要“病

毒库”以及“真正的启发式”，“脱壳引擎”根本不需要工作。我认为从专业的测试杀毒软件启发式的能力上，这样的测试才是有意义的，因为他是“病毒原

体结构探测”。

但在日常我们遇到的大量病毒中，加壳是普遍现象，那么怎么理解启发式在面对大量加壳样本时应该付的责任？

我认为，启发式的责任仍然是“病毒原体结构探测”，只检查exe病毒原体的程序语言是否有符合可疑条件的情况。

有些杀毒软件，脱壳引擎方面功能简陋，对大量的壳都无法检查，这个时候他们真的很聪明，既然没能力脱壳，根本看不到exe文件的真面目，只能看

见“壳”，那干脆针对“壳的结构进行”研究，最终研究成了一套独有的“启发式”：“探测壳结构”的方法，这样的启发式，我给其评分：“低、贱”

2)
为何说其低贱？因为他很容易被淘汰，需要不断的更新引擎，增加Internet更新数据量。

壳有多少种，多的数不清，每天都在有新的壳诞生，又有老的有bug的壳被淘汰，壳的“淘汰快”的特性，也意味着“探测壳结构”的“启发式”的特性也是如

此，会随着壳而不断淘汰。

其次，误报率极高，因为壳再有特点，其特点也非常有限，他的特点远远不可以和“高级语言”编写的病毒的特点相提并论，要针对这么“没特点”的东西

非要死心塌地的搞出一点名堂，连“脱壳”都脱不了的公司，也必定做不好，误报率闭眼也知道非常高，要不断的“加入白名单”才可以减少误报的数

量，甚至一些软件的官方论坛每个版面都有“误报”之类的帖子，可见杀毒软件公司的一部分精力要投入到解决误报，而不是开发新引擎上面，也直接

导致某些反病毒软件现在才有“Anti-root kit”组件功能，比其他二流厂商晚了起码2年的时间。

3)
真正优秀的启发式，并不是用一堆样本去测试，启发越多就越好，启发式的好坏，和用杂乱的样本去测试的结果没有直接关系。

一个高质量的“病毒原体结构探测”启发式，配合一个优秀的脱壳引擎，这样才能有非常好的测试结果，非常准确，误报率极低；

一个高质量的“病毒原体结构探测”启发式，配合一个普通的脱壳引擎，这样的测试结果只能说令人满意，非常准确，误报率极低；

一个高质量的“病毒原体结构探测”启发式，配合一个很差的脱壳引擎，这样的测试结果肯定不怎么样，但识别出的病毒，仍然非常准确，误报率极低；

可见，初级用户判断启发式是否是“病毒原体结构探测”，就是看其是否具有非常准确，误报率极低的特点。我们知道Norton也有启发式，但是非常无效，但是他非常准确，误报率极低，他也是真正的“病毒原体结构探测”，只不过很烂罢了。
优秀的“病毒原体结构探测”引擎目前常见的有NOD32、Panda、Bitdefender这3家。

一个高质量的“探测壳结构”启发式，配合一个优秀的脱壳引擎，测试结果完全依赖于病毒库的大小，当然结果非常准确，误报率极低；

一个高质量的“探测壳结构”启发式，配合一个普通的脱壳引擎，测试结果大部分依赖于病毒库的大小以及对壳结构的启发，结果比较准确，误报率中等；

一个高质量的“探测壳结构”启发式，配合一个很差的脱壳引擎，测试结果很不错，但不准确，误报率偏高；

初级用户如何判断自己用的软件是否是“探测壳结构”启发式，最简单的方法就是看其是否符合“不准确，误报率偏高”的特点，如果有这个特点，他的启发式就是“探测壳结构”启发式。

4)
启发式替代脱壳引擎？弥补杀软的不足？

的确是这样，一个脱壳引擎的开发，需要引擎专家几个月甚至几年的时间，当然这个是某些公司专家自己说的话，研究脱壳引擎脱某个壳花费了6个月的时间，但据我所知，这个专家除了周一~周五的每天8小时的工作时间之外，连杀毒软件看都不看，他仅仅当作是“工作而已”，根本没有把全部时间和精力都投入到引擎的开发中，这样“磨洋工”的干6个月，还不如交给尤金这样的专家干1个月，绰绰有余。


脱壳引擎好的软件当然存在，卡巴斯基、Dr.web的引擎就是非常好的例子。

为何到2006年卡巴斯基还没有启发式？因为真正的启发式-“病毒原体结构探测”启发式开发起来非常困难，卡巴斯基面临要开发的启发式，是针对病毒

原体的启发式，因为他自己的脱壳引擎已经足够强大可以脱壳，他们根本不需要研究一个“探测壳结构”的启发式来弥补脱壳引擎的不足，这个开发的

时间、工作量是远大于开发一个“探测壳结构”启发式的开发周期的。

这就是为什么没有启发式的卡巴6.0竟然在评测里面和一些有所谓{“探测壳结构”启发式+80万病毒库}的杀毒软件在同一个档次，因为后者的启发

式根本就是“脱壳引擎的低档次替代品”，他也叫做“启发式”，但和传统意义上的“启发式”是完全两回事~，此“启发式”，非彼“启发式”。

“探测壳结构”的“发明”，目前欧洲新崛起的二、三流厂商纷纷效仿，因为开发一个“探测壳结构”的难度比开发脱壳引擎容易的多

的多，“误报率高、引擎需要频繁更新以适应新的壳的结构”等等问题接踵而至，绝对不是一个一劳永逸的办法，也不是一个对用户负责任的行为。

总结：搞混启发式，绝对是混淆是非的行为，希望网友能理性看待“启发式”、“报壳”之间的种种联系和关系。

[ 本帖最后由 buycard 于 2007-5-1 00:41 编辑 ]

117507022

支持啊，好帖子啊`                           `

jpzy

希望看到理性的分析，而不是加了很多个人感情在里面的分析！
这种口气的分析即使正确也容易招来反感和口水！！

飞天法宝

长知识了，想知道nod32,dr.web,小红伞都属于什么类型滴？

458506

读完了

117507022

原帖由 飞天法宝 于 2007-4-30 23:51 发表
长知识了，想知道nod32,dr.web,小红伞都属于什么类型滴？

很明显啊，呵呵，难道你还读不明白呀`

飞天法宝

原帖由 117507022 于 2007-4-30 23:54 发表

很明显啊，呵呵，难道你还读不明白呀`

没明白，还是想确认下这种说法

wao1201

看看。。。。。。

3480071

一直怀疑红伞是不是以严谨而著称德国人搞出来的。“宁可错一千，也不放过一个”一般用户都是这样的心理，但安全软件的厂商就不能以这种态度来做软件，以误报来提高检测率本身就是不严谨。














‘

[ 本帖最后由 3480071 于 2007-5-1 09:11 编辑 ]

The EQs

即使说上一百遍，一万遍偶还是要说。。。报壳实在没技术，没水平。。。除非你实在脱不了壳的情况下报壳是无可厚非的事情。。。但是对于其他杀软能脱的壳你却非要报壳或者UPX，ASPACK等之类常用的壳报壳真是可笑到极点了