antivir首席技术指导Stefan Schiffert对脱壳的看法

mofunzone

Stefan Schiffert给我的回复：
Unpacking won't solve every problem. Keep in mind you easily can combine several layers of packers so that neither NOD32, KAV, BD, Dr.Web or anyone else can unpack nor emulate them.
脱壳不能解决全部的问题。请记住你可以轻松的进行多层的加壳这样不管nod32，kav，bd，dr.web或其他的软件甚至是有仿真器功能的软件都不可以对他们进行脱壳。（themida就是其中之一）

And what good is being able to unpack some modified variant of a packer, if the emulation takes more than 60 seconds? The scan speed of NOD32 on malware collections with enabled adv. heuristic is horrible, like 100 times slower than AntiVir. Do you think it's really worth to pay this price just to have "nicer" or more exact detection?
如果仿真器用了超过60秒钟的时间来进行脱壳，有什么好处吗？（nod32永远的痛）nod32在开启高启发之后在进行大量病毒扫描的时候速度十分的糟糕，甚至于100倍慢于antivir。你真的认为值得支付这样的代价来取得更“好”或者准确的侦测吗？

Besides, KAV, NOD32, BD and Dr.Web all also started to add packer/crypter based detections, or are already doing so for a long while. Peed.Gen, Packer.Morphine, Packer.Win32.CryptExe, Win32.Pacex.Gen and so on and so on. Heck, tell me any antivirus program which is *not* doing this by now!
顺便说一句，kav，nod32，bs和dr.web都开始在基础侦测中加入报壳，或者已经使用了很久了。peed.gen（bitdefender的），packer.morphine（antivir的），packer.win32.cryptexe（kav的），win32.pacex.gen（nod32的）和其他很多很多。这样吧，请告诉我哪个杀毒软件现在“没有”这样做！

So again, it's good to have lots of unpacking and good emulation but it won't solve all the detection problems. Malware authors still can bypass the detection if they want to and put enough work into it.
所以再次的，拥有大量的脱壳和好的仿真器是很好的，但是并不能解决侦测问题。病毒制造者一样可以免杀，如果他们放入足够的精力来做的话

[ 本帖最后由 mofunzone 于 2007-5-16 15:11 编辑 ]

周杰伦

谢谢mofunzone翻译，辛苦了

solcroft

脱壳与不脱壳，各有自己的好处坏处。关键不是在于脱或是不脱，重要的是最终防御效果。
把原文全都发出来吧，我想看看

mofunzone

就只有这些，主要是询问antivir的人关于脱壳上的问题，没想到Stefan Schiffert亲自给我回复。。[:26:]

solcroft

顺便跑题问一下：要学用OllyDebug，网上有没有什么好的入门教程？
除了去年上了些C++编辑语言课程，教授们都觉得没必要再来教我们这一批工程师什么更高深的电脑学问了，现在想自己研究一下machine code debugging的道理

绅博周幸

强烈BS某些人不不负责任的说辞 [:09:] ，总来的来说红伞还是不错的

ppooll

了解了

绅博周幸

支持报壳，因为没有一个杀软能够脱全部壳的，就算有也因为某些样本在加了壳后因为特征码改变而无法查杀。比如卡巴是支持脱北斗壳的，但是有些样本加壳前卡巴报，加了北斗卡巴就不报了，所以即使你支持脱壳也未必能做到100％捡出被加壳的样本。（前提是对未加壳样本能查杀）。对已知壳尚且如此，对未知的就更不行了，现在新的壳在不断出，旧的壳也可以通过改进或者改造来变化，所以总的来如果纯走脱壳的单一路线是行不通的。再说如果不报壳的话这么多样本病毒分析师来得及吗？？？报壳可以大幅减轻工作人员的负担，NOD32就是很好的例子，现在大家自己可以看到，只要用NSANTI对大量的老病毒进行加壳改造，NOD32对此束手无策，而且他们的病毒分析师也来不及分析大量的这种病毒样本，红伞直接把加壳后的样本可以做到防止被病毒感染，同时也无需分析此类旧病毒的改进型，这个对病毒分析师的体能有很好的作用。总的来说是事半功倍，

mofunzone

od的入门教程很多吧，google一下就可以，但是高深的基本都要收费的了，或者自己买书学，说真的，网上那群无聊的天天拿着工具免杀的“黑客”，根本就没什么水平，没几个会脱壳的，我也脱不好，nb的黑客还是美国的，昨天google themida脱壳的时候看的我都郁闷。。

绅博周幸

如果EQ兄还是坚持不希望看到NOD32报壳的看法的话，这个对NOD32的发展是不利的，偶只要把现在手上的上万木马样本给加上NSANTI，就又变成了NOD32不能识别的新病毒了，你说不报壳能行吗？？？？？？？？？？ [:11:]