壳——杀毒软件永远的难题

今天,无意间看到了一个博客上对于一个病毒常用的壳说,,只要加了这个壳的文件,都具有非常大的风险,风险包括:该壳会自动下载病毒,并且还会破坏杀软,大大降低系统的安全性。

于是乎,某个杀毒软件得出了:只要这个壳,就报。

听起来似乎挺合理,我即使查不出,报了也总比不报强吧。

仔细想想,问题就来了。

一般来说,杀毒软件对付壳理想化的检查方式是,

解壳–>对比定义库–>判断是否是威胁。

============

实际上,会遇到很多问题:(大致罗列了一下)

1。破损壳:加壳的人并不能保证那个壳真的就加好了,虽然便于理解,很多人把加壳比喻成穿衣服,杀毒软件要做的就是像坚强饭一样,把陌生人推倒然后把他的衣服一件件的拔掉。

但是,万一那个人穿了连衣裙呢?脱毛衣的方法明显不适合连衣裙,所以,杀毒软件就只能傻乎乎的不断地尝试用脱人毛衣的方法去脱别人的连衣裙。结果。。。一直循环下去。当然,很多软件认识到了这点,设定了脱别人衣服到一定时间就放弃,但还是浪费了很多时间。而且有的时候,衣服脱的上瘾了,还会不断地沉迷于此,造成了比较少见的脱壳引擎溢出。

杀毒软件也很无奈弄不好被人说成流氓,所以,他们也有他们的方法,一样的,依旧没有彻底解决问题。

1。获得版权:

就是交钱给壳的制造商,然后获得合法的解壳代码。也就是学会脱人连衣裙的方法。

2。带壳入库:

骇客帝国上映不久,杀毒软件的BOSS很是激动,说:戴墨镜的穿风衣的男人是危险的人。1个月下来,果然逮到了不少危险人物。可惜,骇客不是吃素的,一天,一个奶油小生潜入基地,杀毒软件还是按照BOSS的指示识别坏人,当然,过了安检。结果,某基地被潜入成功的新闻就上报了。

3。执着脱壳:

有了上次的经验,BOSS大怒,说是一定要把任何人的BOAY都暴露在太阳下检查。

但是,对于纯粹的垃圾壳测试文件,例如15+以上级别的壳,基本可以无视它的存在了,因为,即使加上了,是否能运行还是个未知数。就好像穿了15件以上的衣服,在夏天基本就烤熟了,别指望他能拿出手枪对着你。

但是,有的杀毒软件还是拿用户的CPU来炫耀自己的破壳能力。

4。专业报壳:

老外很多壳不是白用的,可是要交MONEY的,解壳也一样。所以,解壳代码不是说自己研究出来就可以用的,还是要给作者一些好处的。这就导致了很多杀毒软件遇到版权壳,见版权壳就报。导致了很多报壳的绯闻。

既然壳脱也不是,不脱也不行,那么很多厂商想到了行为,但是,还是高估了国人的计算机应用能力。

5。行为定点:

有些自称是有先进启发技术的公司(多为国内的私人工作室),见到特征行为就报是木马,搞得人心惶惶。为的就是一个心安,殊不知危险的东西不一定是坏东西,从行为上看,很多微软自家的东西行为比病毒更为疯狂,也被不明不白的咔嚓掉了。

6。主动防御:

卡巴之前在软件中加入了主动防御这个东西,虽然不及HIPS专业,但是也是居家安全的必备良药。

可惜,他太高估了国内用户的水平,按照国际隐私惯例,卡巴监测到有特征的行为就很规矩的跳个框出来问问。

结果,被某星软件公司的枪杆子挂上了误报王的称号,

枪杆子的理论是,国人认为,跳筐的都是木马。

7。综上,只要加壳,杀毒软件就会对你畏惧三分或者挥刀灭之。

Related posts

发表评论