启发式也分高低贵贱,不能把启发式理解成“脱壳引擎的一部分”,因为脱壳有“脱壳引擎”负责,脱壳的事情不可以放在启发式概念的范畴中。
1)我们假设病毒文件是一个exe文件,这个exe文件没有壳,而且是所有杀毒软件都不认识的,这个时候,对所有杀毒软件来讲,扫描这个样本只需要“病毒库”以及“真正的启发式”,“脱壳引擎”根本不需要工作。我认为从专业的测试杀毒软件启发式的能力上,这样的测试才是有意义的,因为他是“病毒原体结构探测”。
但在日常我们遇到的大量病毒中,加壳是普遍现象,那么怎么理解启发式在面对大量加壳样本时应该付的责任?
我认为,启发式的责任仍然是“病毒原体结构探测”,只检查exe病毒原体的程序语言是否有符合可疑条件的情况。
有些杀毒软件,脱壳引擎方面功能简陋,对大量的壳都无法检查,这个时候他们真的很聪明,既然没能力脱壳,根本看不到exe文件的真面目,只能看见“壳”,那干脆针对“壳的结构进行”研究,最终研究成了一套独有的“启发式”:“探测壳结构”的方法,这样的启发式,我给其评分:“低、贱”
2)为何说其低贱?因为他很容易被淘汰,需要不断的更新引擎,增加Internet更新数据量。
壳有多少种,多的数不清,每天都在有新的壳诞生,又有老的有bug的壳被淘汰,壳的“淘汰快”的特性,也意味着“探测壳结构”的“启发式”的特性也是如此,会随着壳而不断淘汰。
其次,误报率极高,因为壳再有特点,其特点也非常有限,他的特点远远不可以和“高级语言”编写的病毒的特点相提并论,要针对这么“没特点”的东西,非要死心塌地的搞出一点名堂,连“脱壳”都脱不了的公司,也必定做不好,误报率闭眼也知道非常高,要不断的“加入白名单”才可以减少误报的数量,甚至一些软件的官方论坛每个版面都有“误报”之类的帖子,可见杀毒软件公司的一部分精力要投入到解决误报,而不是开发新引擎上面,也直接导致某些反病毒软件现在才有“Anti-root kit”组件功能,比其他二流厂商晚了起码2年的时间。
3)真正优秀的启发式,并不是用一堆样本去测试,启发越多就越好,启发式的好坏,和用杂乱的样本去测试的结果没有直接关系。
一个高质量的“病毒原体结构探测”启发式,配合一个优秀的脱壳引擎,这样才能有非常好的测试结果,非常准确,误报率极低;
一个高质量的“病毒原体结构探测”启发式,配合一个普通的脱壳引擎,这样的测试结果只能说令人满意,非常准确,误报率极低;
一个高质量的“病毒原体结构探测”启发式,配合一个很差的脱壳引擎,这样的测试结果肯定不怎么样,但识别出的病毒,仍然非常准确,误报率极低;
可见,初级用户判断启发式是否是“病毒原体结构探测”,就是看其是否具有非常准确,误报率极低的特点。我们知道Norton也有启发式,但是非常无效,但是他非常准确,误报率极低,他也是真正的“病毒原体结构探测”,只不过很烂罢了。
优秀的“病毒原体结构探测”引擎目前常见的有NOD32、Panda、Bitdefender这3家。
一个高质量的“探测壳结构”启发式,配合一个优秀的脱壳引擎,测试结果完全依赖于病毒库的大小,当然结果非常准确,误报率极低;
一个高质量的“探测壳结构”启发式,配合一个普通的脱壳引擎,测试结果大部分依赖于病毒库的大小以及对壳结构的启发,结果比较准确,误报率中等;
一个高质量的“探测壳结构”启发式,配合一个很差的脱壳引擎,测试结果很不错,但不准确,误报率偏高;
初级用户如何判断自己用的软件是否是“探测壳结构”启发式,最简单的方法就是看其是否符合“不准确,误报率偏高”的特点,如果有这个特点,他的启发式就是“探测壳结构”启发式。
4)启发式替代脱壳引擎?弥补杀软的不足?
的确是这样,一个脱壳引擎的开发,需要引擎专家几个月甚至几年的时间,当然这个是某些公司专家自己说的话,研究脱壳引擎脱某个壳花费了6个月的时间,但据我所知,这个专家除了周一~周五的每天8小时的工作时间之外,连杀毒软件看都不看,他仅仅当作是“工作而已”,根本没有把全部时间和精力都投入到引擎的开发中,这样“磨洋工”的干6个月,还不如交给尤金这样的专家干1个月,绰绰有余。
脱壳引擎好的软件当然存在,卡巴斯基、Dr.web的引擎就是非常好的例子。
为何到2006年卡巴斯基还没有启发式?因为真正的启发式的确开发起来非常困难,卡巴斯基面临要开发的启发式,是针对病毒原体的启发式“病毒原体结构探测”启发式,卡巴斯基的脱壳引擎已经足够强大,他们根本不需要研究一个“探测壳结构”的启发式来弥补脱壳引擎的不足,这个开发的时间、工作量是远大于开发一个“探测壳结构”启发式的开发周期的。
这就是为什么没有启发式的卡巴6.0竟然在评测里面和一些有所谓{“探测壳结构”启发式+80万病毒库}的杀毒软件在同一个档次,因为后者的启发式根本就是“脱壳引擎的低档次替代品”,他也叫做“启发式”,但和传统意义上的“启发式”是完全两回事~,此“启发式”,非彼“启发式”。
“探测壳结构”的“发明”,目前欧洲新崛起的二、三流厂商纷纷效仿,因为开发一个“探测壳结构”的难度比开发脱壳引擎容易的多的多,“误报率高、引擎需要频繁更新以适应新的壳的结构”等等问题接踵而至,绝对不是一个一劳永逸的办法,也不是一个对用户负责任的行为。
总结:搞混启发式,绝对是混淆是非的行为,希望网友能理性看待“启发式”、“报壳”之间的种种联系和关系。
转帖者评论:
文章就是针对小红伞的,说小红伞不行罢了!明白人一看就懂.
从技术角度来看,红伞是有欠缺,但从实际效果来看,红伞无疑获得了众多用户的拥戴.这是是某些枪手利用自己一知半解的知识来为自己软件辩驳的原因....
我想反问一下,传统杀软最依靠的能力是什么?无疑,那就是病毒库,再好的杀软,离开了传统病毒特征库,那就什么都不是,杀软最有价值的是什么??!!不是我安装了这个杀软,就可以杀毒了,而真正价值的体现是杀软公司的病毒库支持,那才是最具有价值的内涵.
文章说红伞不断更新引擎,那是陷入一种永无休止的****,那么我想问,不断充实病毒库更难吧,NOD32技术上也只能说不错,看看其缺少了病毒库,在中国市场那种尴尬的表现和处境吧!!!更新引擎也是一种更有效的解决方法,你们指责红伞的人以及其公司,有本事就想出一劳永逸的方法,用什么技术就可以永远不用更新病毒库,否则,没有任何理由和资格来贬低在实际使用过程中,效果和能力比你们强太多的红伞!!
文章其实说得很好,这正好为红伞以及每个正在发展并超越那些老牌的杀软公司做为最好的提醒和借鉴.但作为用户,我们更关心的是一种实际使用过程中真实体现的效能,而不是什么技术,如果真在技术上有什么大的突破,可能也不会归类于什么传统杀软了.
另外提醒大家,红伞已经做出了最好的最有实际意义的行动,4月推出ROOTKIT查杀功能,同时红伞也正在修炼其内功,将在8月推出全面而彻底的引擎增强技术以及其主动防御功能,德国人那种严谨,思辩,进取的精神和心态将促进红伞实现其更强大超越的能力以体现在自己的产品中!!!
技术只有高低,没有贵贱,"低"和"贱"往往更是一种心态!!!这种心高气傲的心态和不思进取的保守态度也许将会让无数的杀软吃着N年前的老本,而在新的一轮残酷的商业竞争中悲惨的死去!!卡巴不会,红伞也不会,那么倒下去的将是谁呢??!!.........
那这样,你把若干个正常文件加各种壳,然后让红伞去扫描一下试试! 输了就是输了,怎么输了就认起什么老祖宗,出生名门的贵贱之分来了.
不要用一种老眼光来看待日新月异的事物,红伞正是想到脱壳,然后启发对查杀效能的巨大负面影响,且效果欠佳,查毒性能根本就不显著的情况下,才另辟奚径,采用独特的结构分析技术而引领群雄,就在壳外分析,既不占用太多资源,又能够大大提高效率和查杀准确度!!?也许,壳外结构分析启发技术将会集中脱壳和启发两者的优势,成为或者已经成为杀毒技术的第三个亮点!!!
最后说几句,别太在技术上偏执于某一两项技术,掩耳盗铃,刻舟求剑,做井底之蛙,好象没有公认的技术,非主流的技术就不是技术....这不是一个真正想发展的公司所为,杀软的所有技术的宗旨就是多大程度的提高其效率和能力,思维有拓展性,技术上同样的有拓展性,有时候需要在思维和创新上跳出这个固定的框架,在今天这样日新月异的技术时代,才能够发展,壮大下去.
从技术角度来看,红伞是有欠缺,特别是在脱壳和你所谓的什么真实启发上,但正如上面你所说的,启发有那么大的技术难度和风险,以及其低效能,这样的传统思维已经使很多靠这两项技术起家的杀软陷入了一个深不见底的技术误区,且越陷越深.这样的观念使他们不愿接受现实,不愿开拓进取.....红伞正是因为敏锐的看到这点,而从技术上另辟奚泾,发展自己的新技术,走自己的新道路.从实际效果来看,红伞的对壳的结构分析技术无疑大大提升了性能和效率,实现了技术上的超越,从而获得了众多用户的拥戴.这里,在佩服德国人严谨的基础上,更佩服其开拓的精神!!枪手们可曾想过,你们把思维始终要局限在先脱壳,再启发,或再对照病毒特征库的基础上,非要把自己的技术局限于这个传统惯性思维的基础上,好象别人走不同且行之有效的道路就反传统,不应该...!!!!???我们能不能跳出一定要先脱壳,再启发的思维定式,而更有效率的从壳结构做行之有效的分析呢!!!??
如果你们还不相信什么叫技术含量,什么叫大势所趋,只服从于权威,那么好,我有最好的例证,看看卡巴7的启发吧,看看卡巴7对未知病毒木马都报的是什么名字!!!肯定卡巴7和红伞两者的技术运用不同,但我们更可以看到,它们绝对是殊途同归.
[ 本帖最后由 伯夷叔齐 于 2007-5-4 11:10 编辑 ] |
发表于 2007-5-4 09:47:20
发表于 2007-5-4 10:50:01
楼主
发表于 2007-5-4 11:37:35
