» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 我不看好微点扫描    52   1/6   1   2   3   4   5   6   >  作者: 标题: 我不看好微点扫描 反黑先锋 版主 RUNWAY 积分 2901 发帖 2857 注册 2006-6-17 #1  我不看好微点扫描 作者nasdaq 前言：我在准备《微点不是病毒终结者》的时候，又琢磨了一下扫描引擎，结论是我个人不太看好微点要推出的扫描引擎。把想法整理出来和大家一起讨论，欢迎朋友们批评指教，共同提高。 一、什么是脱壳 脱壳对于杀毒软件的重要性，是毋庸置疑的。究竟什么是脱壳呢？这要从加壳谈起。本人才疏学浅，我觉得加壳的目的一般来说主要有两类，一是压缩应用程序体积，譬如说很有名的upx压缩壳；还有一个就是为了加密保护应用程序，防止程序的资源被盗用或是被破解，这类壳关注的热点是尽可能避免被脱壳还原出原始程序。无论什么目的，加壳的结果是加壳后的程序将变得和加壳前不一样。 正因为加壳可以使程序文件发生变化，那么把加壳应用到病毒程序上，就可以干扰特征码扫描引擎的判断。因为一般来说加过壳的程序，原始的程序文件就被改变了，所以原有的特征识别方案自然就无效了。当然特征扫描引擎可以用带壳提特征的方法来实现查杀被加壳的已知病毒，但是带壳提特征这种方法实属亡羊补牢，典型的治标不治本。带壳提特征的扫描引擎，一个原始样本加多少壳就衍生出多少个所谓的新变种，这样玩儿下去的话，杀毒游戏还有尽头么？莫忘了理论上壳的数量和种类是无限的，写出一个很棒的壳是很麻烦的事情，但是瞎糊弄出一个只为了改变程序本体，从而暂时逃避带壳提特征扫描引擎追杀的壳，绝对不会是太麻烦的事情。 正是因为带壳提特征十分被动，于是乎，杀毒软件们普遍都很重视脱壳工作，而脱壳的能力也是我们衡量一款杀毒软件杀毒能力的重要标准之一。 二、常见的脱壳方法 有矛就会有盾，常见的脱壳方法主要有两种：算法脱壳和虚拟机脱壳。 算法脱壳，简单说就是加壳算法的逆运算。 优点：效率高，脱壳速度快。 缺点：1.滞后性，只有在详细分析加壳算法后，才有可能写出脱壳算法；加壳算法稍有更新，脱壳算法就必须要进行相应更新。       2.很多加壳算法的防范反汇编工作做得非常好，数学加密算法也非常棒，我不敢说绝对写不出脱壳算法，但绝对是极大的增加了写出完善脱壳算法的难度。出于效率原因，如果研究一个脱壳算法需要耗费非常长的时间，那么这个加壳算法就可以认为是不可脱壳的，时间是宝贵的，哪家公司也托不起。 虚拟机脱壳，简单说就是创建一个虚拟环境，将程序或是部分程序虚拟运行，由程序自行运行完成从而实现自动脱壳。虚拟机脱壳，实际上是建立在一种心理假设的基础上，虚拟机假设所有加过壳的程序其最终目的都是要正常运行，而加过壳的程序正常运行的前提条件是必须要自行脱壳还原成程序本体。我认为这个假设是成立的，所有给木马加壳的人的目的，都是为了躲避杀毒软件查杀且木马能正常运行发挥作用，除了某些技术bug造成的原因使得木马无法运行，没有人会刻意搞出一批死木马来给大家搞笑用。 优点：虚拟机理论上是可以实现广谱脱壳的，即脱掉所有的壳！ 缺点：虚拟机的虚拟运行特性，使得虚拟机脱壳的资源占用较高，脱壳速度较慢。好消息是Intel和微软准备在硬件层面支持虚拟技术，这样就会使得虚拟机获得几乎和真实机一样的程序运行效率。具体支持VT的型号我没太注意，有兴趣的朋友自己去查相关资料吧。 PS：虚拟机并不是什么全新的技术，在DOS时代的加密变形病毒就已经用到了简单的虚拟机。有兴趣的朋友请看下面这篇文章。呵呵，去年在微点论坛，calm_cs大哥强烈推荐的，稍微长了点儿，但是小弟看完后真的受益匪浅。 http://www.jijiao.com.cn/avtech/antiVtech/00000021.htm 光说不练那是假把式，下面来看一下杀软们的真实表演吧。我在绅博看到的下面这个转载太平洋的帖子，真的给我非常大的震撼。我真的没想到，所谓的国内国外著名公司的杀毒软件们，著名的虚拟机们，网络上被风传可以脱上千种壳的超强脱壳引擎们，在扫描同一个样本加不同的12种壳时，无一例外，全都自觉地漏出了带壳提特征的马脚。同一个样本加不同壳，为什么会扫描出不同的病毒名称？这壳究竟是脱了还是没脱？我猜杀软们永远都不会正面答复这个问题，因为答案是带壳提特征。 http://softbbs.pconline.com.cn/topic.jsp?tid=6087616 希望大家用事实来交流，咱们中国人太容易被网络流言欺骗了。我在去年也非常推崇那个可以脱上千种壳的超强脱壳引擎的引擎架构，我曾经很为它处理复合文件格式的超强能力所倾倒。真的是希望越大，梦醒了失望也越大。 三、我眼中的微点扫描 太平洋那个帖子给我的震撼真的是很大，帖子是去年10月的，我大概是在今年年初在绅博才看到的转贴。如果是少数杀软厂商带壳提特征，多数都可以很好地脱壳，那我会非常坦然地接受，因为不同厂家技术上存在有差异是很正常的。但是，非常遗憾，居然没有一个厂家可以做到完善的脱壳，甚至包括那些网络上风传的国内国外著名的虚拟机技术。太平洋一个无意中的帖子，内涵很丰富呢！可能是因为低调吧，至少我觉得Symantec和McAfee的扫描引擎比我想象的要好，而俄罗斯两兄弟的引擎，只能说让人有些失望。怪谁呢？只能怪网络中吹得太猛了，到处都在说俄罗斯两兄弟的超强脱壳技术，超强引擎………… 我觉得做主动防御和做扫描是不一样的，主动防御目前主要就是一个微点，先入为主，无论微点做得怎么样，它都是这个行业的第一，而后的再来者也只好模拟微点目前的形态；但扫描就不一样了，扫描基本上每家杀软都有，参照物太多了。既然那么多大公司都不行，那微点这么一个小公司又凭什么能做出突破呢？ 所以，我个人并不看好微点要推出的扫描引擎。本来微点的程序实时行为判断在对付加壳的问题上是非常具有优势的，因为行为分析对加壳加花等干扰特征码判断的免杀方法都是天然免疫的。我越发不理解微点为什么非要去碰扫描引擎这个大钉子？只是为了迎合用户使用习惯方面的需求？ PS：补一句，目前微点实时监控对已知病毒的扫描似乎没有加入脱壳技术，我想是因为微点目前的形态根本不需要脱壳机制，微点的行为分析对加壳是天然免疫的！就像前面说的，所有加壳后的病毒在真实环境中运行的第一件事就要自动把自己的马甲脱掉，然后执行程序本体，微点会在这个时刻跳出来干掉它。把话都说明白了，免得有人会用微点已知监控也在用带壳提特征来混淆概念。当然还会有一些特殊情况，譬如说加壳出问题做出的死木马，在任务管理器中的形态是进程闪了一下就退出。这个退出和常见木马的自动退出是不一样的，但是外在表现又差不多，对于这种情况，微点是不会报警的。这时候，建议大家把样本直接发给官方测试，毕竟不是每个人都会分析程序退出原因的，微点也不是万能的，谨慎一点比较好。 也许“明知山有虎，偏向虎山行”是刘旭一贯的风格吧。微点已经树立起难能可贵的高技术形象，希望不要被扫描引擎拖了后腿，影响了主体形象。希望微点能够走好。有兴趣的朋友等微点出了扫描，自己去做测试吧。我怕失望，这次就不自己试验了。 我个人的意见是由于众所周知的原因，微点的资源本来就不富裕，更应该优先调配资源搞网络版，由于微点的架构很独特，所以微点网络版的可管理性可扩展性必然都会非常出色，网络版的优势将非常明显！扬长避短才是上策！ 篇后：目前尚缺乏理由看好启发式 启发式非常需要完善的脱壳技术作启发式分析的前期准备，因为只有将加过壳的程序还原为程序本体之后，对静态程序代码进行动态分析的启发式才能真正发挥出它的应用意义，发挥出它分析未知病毒的能力。对于那些脱壳不完善，见到壳就报警的启发式，我们该怎么称呼它们？是不是把它们称为假启发才更合适一些呢？请这些同志就不要给启发式丢人啦！好好的一个技术方向被你们做成了今天这样。就凭脱壳不够完善这一点，我在很长一段时间都没有办法看好启发式，除非先解决好脱壳问题。当然，打着启发式的幌子混饭吃还是不错的，人类社会就是这个样子，无论东西做得多不好，总能卖出去，也总会有人买。 网友Vader做了这样一个关于加壳的复杂测试：测试使用一个绝对正常的文件，用各大著名杀毒软件的在线杀毒测试，当然一切正常没有发现病毒。然后加壳用杀毒软件们扫描，结果真挺逗的，有兴趣的朋友自己看人家的原始试验资料吧。 http://publish.it168.com/2006/1213/20061213016905.shtml PS：呵呵，最近发现IT168挺有意思的，不怕压力，敢说实话！等我先把手头的专栏做好，以后有机会找IT168骗稿费撒。 [ 本帖最后由 nasdaq 于 2007-2-28 18:52 编辑 ] 作为微点测试用户来说 我完全支持微点自主研发的扫描引擎 很好奇！ 但说实话我不太看好微点的扫描  微点自主研发的扫描引擎我想可能有2种答案： 一种就是随大流 传统的“带壳提特征”（见壳就报 管你是什么正常程序 扫到壳就是病毒） 第二种可能性比较小 扫描引擎像微点的主动防御技术一样 与众不同 实力超群 其实想一想 扫毒软体们的看家法宝就只有扫描~  要是天天扫下下就能很好的解决安全问题 现在也不会有这么多中毒中木马的用户了  目前受制于某些原因 至今还未上市的微点自主研发的扫描引擎真能超越他们？  我感觉微点更多的是为了考虑广大用户的习惯需求 扫描在当前是必须的 对主动防御也算是一个有益的补充吧。 [ Last edited by 反黑先锋 on 2007-2-28 at 20:55 ] ※ ※ ※ 本文纯属【反黑先锋】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 荣先祥藏头诗《赞东方微点》 东风欣传好消息 方策独步世所稀 微妙玄机嵌主动 点睛灭毒堪神笔 2007-2-28 20:17 pcjuju 银牌会员 灌水大王~~ 积分 2337 发帖 2290 注册 2006-10-16 #2   　　大致浏览了一下，感觉到是一篇好文章，赶紧收藏，回去慢慢领会。 ※ ※ ※ 本文纯属【pcjuju】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-2-28 20:21 八闽汀江子 高级用户 积分 537 发帖 525 注册 2006-12-31 来自 深圳 #3   没有做不到，只有想不到！ 只是时间和精力问题。 我猜想微点的扫描引擎也是不依赖特征码，但是带有特征码的几何技术。 [ Last edited by 八闽汀江子 on 2007-2-28 at 20:58 ] ※ ※ ※ 本文纯属【八闽汀江子】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 如果我们的脑袋都长在别国人的头上，那我们就真的“亡国”了... 2007-2-28 20:53 钢笔男孩 注册用户 积分 80 发帖 74 注册 2007-2-8 来自 浙江 #4   我也觉得没必要，但见解跟你不一样 ※ ※ ※ 本文纯属【钢笔男孩】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-2-28 21:16 八闽汀江子 高级用户 积分 537 发帖 525 注册 2006-12-31 来自 深圳 #5   这个扫描引擎肯定有存在的价值的！ ※ ※ ※ 本文纯属【八闽汀江子】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 如果我们的脑袋都长在别国人的头上，那我们就真的“亡国”了... 2007-2-28 23:35 Paxson 高级用户 积分 593 发帖 591 注册 2006-5-11 来自 China CD #6   感觉会有一定突破 不过能不能达到预期 要看实际情况了 ※ ※ ※ 本文纯属【Paxson】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 东方微点“反病毒技术交流”群:630086、1471553 、16998902 论坛:http://bbs.micropoint.com.cn/ 2007-2-28 23:59 正魔刃 中级用户 积分 289 发帖 289 注册 2006-9-23 #7   要搞就要搞有突破的东西。 ※ ※ ※ 本文纯属【正魔刃】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-3-1 14:15 spatyt 新手上路 积分 7 发帖 7 注册 2007-2-22 #8   说句不太中听的话，我个人认为微点出扫描引擎非常有必要，其存在的价值相当大。楼主在前面说了“......其实想一想 扫毒软体们的看家法宝就只有扫描~  要是天天扫下下就能很好的解决安全问题 现在也不会有这么多中毒中木马的用户了  目前受制于某些原因 至今还未上市的微点自主研发的扫描引擎真能超越他们？  我感觉微点更多的是为了考虑广大用户的习惯需求 扫描在当前是必须的 对主动防御也算是一个有益的补充吧。”，对于这段话，我还真有不同看法。一、如果现在的用户真有这么好的习惯能做到经常性地扫描PC，我想虽然安全问题仍相当严峻，但我想各位网管会轻松许多，在现实中，绝大多数用户是普通用户，连最基本的常识都不具备，我们还能寄希望于用户来分析哪一个进程有害，哪一个进程无害吗？更不要指望用户为系统打丁，因为对他们来说，根本就没有这样的概念，对你所说的更是不知所云。不要以为这是搞笑，更不要以为这是天方夜谭，这样活生生的例子不胜枚举。如果用户真能有象楼主所说的有那样好的习惯，按技术人员所要求的那样进行系统的安全防御，养成良好的安全使用习惯，虽仍不敢说天下太平，但世界会清静许多。二、楼主后面的话我基本赞同，无论多好的一个软件，他必须具有易用性强，使用方便，更重要的一点那便是必须要尽可能迎合绝大多数用户的使用习惯，我想世界上最难改的恐怕就是习惯了。Windows的巨大成功便是最经典的案例，举例来说，现在要让广大的普通用户弃用Windows改用Linux的话，大家认为这现实吗，要知道，毕竟绝大多数用户是普通用户，而不是计算机工程师，更不是专家，我们能指望对一个学其他专业的用户灌输计算机专业知识吗？（当然，特殊个例就不要进行讨论了）。三、基于上述理由，作为一个面向所有用户，而不仅仅是面向计算机专业人士的杀软，要全面推向市场，让绝大多数用户所认可和接受，我想不兼顾传统杀软的优点和使用习惯的话，是相当艰难的，让一个非计算机专业用户去分析系统进程和应用软件的行为是否有害，对绝大多数用户来说，其艰难程度恐怕是难以想象的。可能对我们来说很简单的一个问题，但对绝大多数普通用户来说，却是非常困难的，因为他们根本就不具备基本的基础知识，如何让他们进行判断。更不要跟他们说如何为系统打补丁及为什么要打补丁，如何设置安全策略以及为什么要设置安全策略云云，因此，我想如果有一天所有用户都具备了较高的应用常识并养成了良好的使用习惯的话，世界将会清静和太平许多，我们前方的道路是任重而道远啊...... ※ ※ ※ 本文纯属【spatyt】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-3-1 22:36 千里缘 注册用户 积分 90 发帖 90 注册 2007-2-10 #9   对于一个新手并且是一个不重视电脑安全的人来说,扫描的确意义不大.而且,如今数百G的大硬盘完全扫一次要多长时间呢?有几个人会有那么大的耐心等你杀软一个文件一个文件的慢慢扫呢?微点走的是主动防御的路子,与别的不同,我个人认为还是坚持下去,不要弄一个"鸡肋"出来了.我遇到的人里面,40G的硬盘很少完全扫过的. ※ ※ ※ 本文纯属【千里缘】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-3-1 23:07 hong54321 新手上路 积分 18 发帖 18 注册 2007-1-28 #10   我也不支持扫描.微点把自己的主动防御搞好搞精,就可以执牛耳啦,不需要去和其他软件凑热闹 ※ ※ ※ 本文纯属【hong54321】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2007-3-1 23:13  52   1/6   1   2   3   4   5   6   >  论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号