leelee
高级用户
积分 582
发帖 568
注册 2006-12-16
|
#1 喜欢用外国杀软的朋友必看!
不要在自己骗自己了
我们知道,传统的杀毒软件都是根据特征码来识别病毒和木马的,提取关键且有效的特征码是各大著名杀毒软件的秘诀,有效的特征码也是对付病毒变种的重要办法。就是目前先进的启发杀毒技术也需要对文件关键代码进行动态模拟或反编译来识别是不是病毒。
这个试验被很多网友反复试验,都给予了证明。结果另外一些网友就干脆拿其他的杀毒软件来做同样的试验,结果发现了更多的问题。
mofunzone用欧美通用的杀毒测试代码来用一些著名杀软的在线测试来做试验,结果在测试代码X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*里面加三个“g”。美国CA公司的两个产品、捷克的Avast!、微软的杀毒引擎、冰岛的F-Prot、ewido、西班牙的熊猫(Panda)、台湾的Prevx1、美国的Sunbelt(该公司有以Kerio命名的系列著名杀毒软件和防火墙)等在线杀毒全部报没有病毒。至于他们的为什么不提取就不清楚了,大家就怀疑他是不是也是只和木马杀客一样,只对标准文件进行识别。
测试的结果令人大感意外,难道我们一直都使用的那些著名杀毒软件也不行?究竟还有多少杀毒软件是值得我们信赖的呢?
于是又有网友做类似的给木马加字节后再用杀毒软件来测试,结果发现国产的另外一个免费的杀毒软件智慧星也是用文件名加MD5来进行杀毒(智慧星宣传这个是他独立开发的先进引擎)。还发现瑞星2006和木马克星对一些木马加字节后也没有反应!更有网友提出了几个月前的旧闻,Avast!把中文和德文系统的系统任务管理器(taskmgr.exe)等一些系统核心软件当作木马不分青红皂白的杀了!结果发现他对这些文件就是用文件名加MD5来识别的!虽然后来很快更正了,但是他在对病毒文件识别中还有多少是用这种方式识别的?天知道!
前几天我也遇到了类似问题,我试用Ashampoo AntiSpyWare来查木马软件。结果他把一大批Windows的东东(包括很多核心部件)都识别为木马!这令我很是恐慌,无所适从,只有把他卸载不再使用。(在这之后,我用Nod32、卡巴斯基、AVG Anti-Spyware 7.5、McAfee企业版等都检查过没有问题)这种误报难道也是通过文件名加MD5识来识别的?中文系统的MD5和英文不同,他就不分青红皂白的把他识别为木马!
既然加壳会让病毒变形,也能躲过众多杀毒软件的查杀。那么一些可以脱壳的杀毒软件是不是就能万无一失呢?
网友Vader做了这样一个关于加壳的复杂测试:
测试使用一个绝对正常的文件,用各大著名杀毒软件的在线杀毒测试,当然一切正常没有发现病毒。
然后使用北斗、仙剑、JDPACK、eXPressor、SVKP、免杀木马加壳器、木马帝国木马免杀器、岁月联盟专用木马加壳器等进行加壳,意想不到的事发生了,杀病毒软件分别发现病毒或者是怀疑病毒,其中CAT-QuickHeal是被Vader封为报壳王,因为他见壳就报!Antivir(德国著名的小红伞)、Panda、Fortinet(美国著名的飞塔)、Sophos(英国牛津)、kaspersky(俄罗斯的卡巴斯基)等著名杀毒软件也是经常报!其中Antivir、Fortinet 、Panda、Sophos基本都是以启发式的方式来报出的!kaspersky应该是提取壳的特征码作为判断病毒的依据。
但是他们都不幸把正常的文件报壳,甚至是把经过加壳后无法运行的程序报壳!其他不幸多次中招的著名杀毒软件还有F-Prot4(冰岛)、eSafe(以色列)、Ikarus(奥地利)等。著名的McAfee(美国)、Dr.Web(俄罗斯)也有一次失手……。而最搞笑的是Vader的岁月联盟专用木马加壳器测试结果:AntiVir、Avast!两个著名的杀毒软件干脆直接明确的报为灰鸽子!(Vader的判断是因为国内用这个给各种变种灰鸽子加壳的太多,这二位干脆省事,提取了这个壳的特征码来识别灰鸽子!)
Vader的测试结论我们也很容易理解,CAT-QuickHeal这样报壳王我们姑且不论, 而Antivir、Fortinet 、Panda、sophos、kaspersky等在国内外评价不错的杀毒软件也不少有针对壳来报毒的。前面四个基本都是以启发式的方式来报出的,kaspersky是通过特征码来报的,所以我们就要怀疑这四位用来对付加壳病毒的启发式杀毒到底是不是仅仅是针对壳的特征码来报病毒的呢?kaspersky声称可以脱N千种壳,是不是其中相当多的所谓脱壳都只是看到这个壳的特征码就干脆一杀了之?
加壳其实不仅仅是病毒和木马免杀用,不少程序也用加壳技术来保护自己不被破解。如果这些号称可以脱壳的杀毒软件只是根据壳的特征码来报病毒,那也太……
老实说这些文章和测试看下来,太多的知名杀毒软件的表现确实让我失望,大家在技术上偷懒,提取特征码或者启发引擎都只是靠壳的特征,甚至只是靠MD5,那误报误杀基本是不可避免的!这对普通用户也是噩梦(我测试Ashampoo AntiSpyWare经历就是如此)。
在笔者结束文章时候,了解到木马杀客提出要改进他的查杀引擎,避免再出现这种情况。作为一个免费的安全软件能够做出这样的姿态难得的。希望其他的著名杀毒软件也改进技术,尽量不要出现某些不负责任的误杀误报,这对于普通电脑其实是非常重要的!大家相信你的品牌和技术,却未必给了用户真正安心的保护
Vader第一个测试的是给北斗3.7的壳,用在线杀毒测试,结果就有CAT-QuickHeal、eSafe、Fortinet、Ikarus、Kaspersky、Sophos等就报了怀疑或者直接报病毒或木马,然后再加一层北斗壳,然后F-Prot4也报发现了病毒。
然后Vader用原未加壳的程序加一层仙剑的壳, 测试发现AntiVir 、CAT-QuickHeal、eSafe、Fortinet等报了病毒,然后再加一层仙剑的壳,虽然这时候程序已经无法运行了,但是不但上面四个继续报,F-Prot4也加入了。
然后是JDPACK的加壳,这次是CAT-QuickHeal、Fortinet、Kaspersky报了。再试0bug0.1壳加密,虽然程序已经再次无法运行,但是这次还有CAT-QuickHeal、Fortinet、McAfee、Panda等报了病毒。
eXPressor的壳的加密是AntiVir、eSafe、Ewido、Fortinet、Ikarus等报了病毒,他的高比例压缩倒是只有AntiVir、eSafe、Ewido、Fortinet报。
用国产的免杀木马加壳器生成后程序已经不能运行了,但是AntiVir、CAT-QuickHeal、Fortinet、Kaspersky、Panda继续报病毒(Vader估计是由于国内不少人就是拿着个这个自己的后门加壳造成杀软干脆看到这个壳就报病毒,汗……)。
用木马帝国木马免杀器加的壳以后,AntiVir,CAT-QuickHea,Fortinet,Kaspersky不幸的继续报毒……
SVKP的壳加密,CAT-QuickHeal、eSafe、Fortinet、Ikarus等老选手继续报,还增加了UNA!
复合加壳的测试:木马帝国木马免杀器+北斗壳加密后,CAT-QuickHeal,eSafe,Fortinet,Ikarus,Kaspersky,Sophos都报了。
JDPACK+北斗加壳,报了发现病毒有CAT-QuickHeal ,eSafe,Fortinet,F-Prot4,Ikarus, Kaspersky,Panda,Sophos这八款杀毒。然后再加一层北斗壳,著名的Dr.Web也不幸加入了。
岁月联盟专用木马加壳器加的壳,CAT-QuickHeal、sophos、Fortinet、eSafe、AntiVir、Avast报了,其中AntiVir、Avast干脆直接报为灰鸽子!(Vader估计是国内太多人用这个加壳工具给灰鸽子加壳了吧,导致反病毒厂商直接用壳的特征码来判断了)然后再用北斗壳加了一层,然后AntiVir没有报了,却增加了Ikarus、Panda……
| |
※ ※ ※ 本文纯属【leelee】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-2-6 21:45 |
|
xtt
新手上路
积分 18
发帖 18
注册 2007-2-2
|
#2
Symantec没有参加测试还是没报,没看到它
| |
※ ※ ※ 本文纯属【xtt】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 01:58 |
|
天网飞狐
新手上路
积分 41
发帖 41
注册 2007-2-6
来自 浙江省杭州市
|
#3
哄人的,呵呵,每种杀毒软件都有他的弱点,只要在技术努力上进,我同样去持,和微点一样,加油!
| |
※ ※ ※ 本文纯属【天网飞狐】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
天网飞狐技术安全网:http://skyfox.blog.hangzhou.com.cn |
|
|
|
2007-2-7 09:19 |
|
主任
新手上路
积分 2
发帖 2
注册 2007-2-4
来自 四川成都
|
#4 寸有所长,尺有所短
我用微点时间不长,我觉得微点挺好的。
各种杀毒软件都有它们的长处和短外。
| |
※ ※ ※ 本文纯属【主任】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 09:44 |
|
leelee
高级用户
积分 582
发帖 568
注册 2006-12-16
|
#5
| Quote: | Originally posted by 天网飞狐 at 2007-2-7 09:19:
哄人的,呵呵,每种杀毒软件都有他的弱点,只要在技术努力上进,我同样去持,和微点一样,加油! |
|
哈哈 那你自己试试是不是哄人 的!为什么中国人都怎么盲目崇外?
| |
※ ※ ※ 本文纯属【leelee】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 16:42 |
|
cheng1997
新手上路
积分 4
发帖 4
注册 2007-2-4
|
#6
没有什么杀毒软件是万能的....
| |
※ ※ ※ 本文纯属【cheng1997】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-7 16:43 |
|
hanghang2221
新手上路
积分 7
发帖 7
注册 2007-2-9
|
#7
杀防并举才是高招
| |
※ ※ ※ 本文纯属【hanghang2221】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-9 10:15 |
|
flo
注册用户
积分 168
发帖 168
注册 2006-8-17
|
#8
好晕...
不知道是谁写的文章,有很多问题啊...
| Quote: | | mofunzone用欧美通用的杀毒测试代码来用一些著名杀软的在线测试来做试验,结果在测试代码X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*里面加三个“g”。 |
|
这个本来就是个测试文件啊,是EICAR提供的。之所以采用这些没有规律的字符是为了防止误杀而已,所以加了几个g后当然就不报了。如果是在一个真正的样本后面加几串零就不报了的话那或许还有些说服力。使用MD5在杀软看来其实是可怕的啊,要算个MD5岂不是要把文件全部读完,要是一个动不动就几百MB的文件,岂不是读死了。
可以参看:http://www.eicar.org/anti_virus_test_file.htm
| Quote: | | 然后使用北斗、仙剑、JDPACK、eXPressor、SVKP、免杀木马加壳器、木马帝国木马免杀器、岁月联盟专用木马加壳器等进行加壳,意想不到的事发生了,杀病毒软件分别发现病毒或者是怀疑病毒 |
|
要是用启发式报出来那才是正常的啊。毕竟很多壳采用的方法和多态病毒很类似,这也实在是无可厚非的。至于一些杀软给壳做特征嘛,加个“木马帝国木马免杀器”这样的壳,你觉得这个东西还有可能是好东西么?如果杀软哪天连UPX加壳的东西也一杀了之,那确实可以扔了它。
| Quote: | | 但是他们都不幸把正常的文件报壳,甚至是把经过加壳后无法运行的程序报壳! |
|
复合加壳的情况本来就是很复杂的,如果能够很轻易判断出哪些程序可以加壳的话,加壳的软件是不是理所应当给个该程序不能加壳之类的提示么?而且正常软件没必要也很少复合加壳(特别是两层以上),所以这也经常是启发式引擎的判断依据。
| |
※ ※ ※ 本文纯属【flo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-9 20:04 |
|
lailai1
新手上路
积分 10
发帖 10
注册 2007-1-11
|
#9
楼上的连版主们都说是高手啊!学习中。。。
| |
※ ※ ※ 本文纯属【lailai1】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-2-10 10:13 |
|
