antivir首席技术指导Stefan Schiffert对脱壳的看法

david_sg

原帖由 mofunzone 于 2007-5-21 13:40 发表
只是在怀疑你的鸽子还能飞不

那个鸽子残了。我在对闪兄的言论表示怀疑而以，所以举了那个例子。给病毒加一个或者几个知名壳就拿去用的只是初学者的做法，为了保持隐蔽性和文件体积真正写病毒的人不会那么加，要想逃避追杀加一层自定义壳就行了。小红伞的基因检测在很多自定义壳面前也不怎么灵光，一个杀毒软件的发展不光是技术而且也是文化的沉淀，Avira GmbH的功力还不够。

mofunzone

要是antivir还没文化沉淀，这世界就没几个有的了，H+BEDV成立在1988年，世界前几名的了

david_sg

在国外生活的中文退化了？我说的是功力还不够，而不是没有文化沉淀。从软件的设计上来看，他们跟symantec、kaspersky之类的巨头比起来还有很长的路要走。卖软件卖的就是一种文化，特别是安全软件,“why should I trust you?"这是用户常常要问的，你总不会直接拉他们去看测试吧？Avira现在做的不错，但是还需要努力。

popolong

不知那个GB EQ只有2的那个人还想说些什么，很想看他再来搅一搅。

闪电战

一个杀毒软件的发展不光是技术而且也是文化的沉淀，Avira GmbH的功力还不够。

你这句话随么样理解也只能理解成强调Avira文化的沉淀不够
那个50层壳的鸽子在样本区，一下子搜不出来，鸽子肯定也是死鸽子

你说的没错，一个自己改出来的壳就能晃过很多杀软，所以杀软的脱壳能力也永远只能在病毒屁股后面追。Stefan Schiffert也是想到这一点，解决这个问题要么等虚拟机脱壳技术发展成熟，要么像红伞这样报可疑结构，要么监控内存在病毒自己脱壳时截获

l10x

支持NOD32报壳

woai_jolin

原帖由 jpzy 于 2007-5-17 12:52 发表
脱壳要比加壳难得多，而且脱壳要耗费相当的资源，不划算！
不过报壳也只不过是权宜之计，是没办法的办法，相当于抓不到罪犯，就把看着可疑的全抓回来慢慢审，不好！
行为分析相比较而言还是有优势的！不要脱壳，反 ...

能完全做到这一点的我看也只有norman了 希望norman的sandbox能遇壳就调用

ykz1991

norman的sandbox纯属作弊
PS:什么时候的老贴了

0106

我从来没见过国内有某某首席什么官给我们回信

2aaaaaa

又了解了一些新东西,得顶