回复:用打包程序的坏处......
赫赫,楼上怎么又开始想当然了。我从一开始的那贴就说得是“代价高”的虚拟机,而且我早就指出了这一点。请仔细读完再回帖。
杀毒软件也没有必要完整的脱壳,抓病毒并并不需要完整的看所有的部分,只需要能够抓到足够多的部分确认就行。另外,我并没有说脱壳需要一开始就脱到底。请仔细想想,我前面描述的原理:不论你再高级的什么壳,永远也摆脱不了释放代码(写)到一段内存后的某个时间又跑过去执行这样的异常举动。并且监视这个动作并不是什么高代价的操作,完全可以在程序执行的全过程实行。发现这个动作一次,就启动指纹/静态扫描一次,以后再有,再扫就行了。
哈哈。“抗生素是人为的,而细菌是自发的”不得不说这是一个非常肤浅的论断。提示: 请不要单纯的从“抗生素”这个人给的标签上下结论,标签确实是人给的,但“病毒”这个标签也是人给的。没有人他们就不存在了么?
而且我从来也没有否定病毒的技术超过杀毒软件,不要变更讨论的重心。你前面说的是:如果很多人都有很高的技术以及很多的时间来写高级的病毒,那么就可以完全的鄙视所有的杀毒软件了。我的意思:请不要忘了,杀毒软件就像抗生素一样,尽管永远也不可能解决所有的病毒,但是可以保证他能够对抗大多数的主流病毒。现在的杀毒软件水平其实就是反映主流病毒的水平,仅此而已。如果主流病毒技术提高,可以肯定绝对会出现相应的杀毒技术,因此你的“鄙视”是没有道理的。
最后一句话,如果你没有读或者理解的话:世界上所有的给大众“安全”措施,都仅仅是防主流而不是防全部的。这点古人就明白,所以有话说“防君子不防小人”。如果你在某个方面的技术领先,得确,你可以轻易的化解绝大多数的安全措施;但是如果你假设绝大多数人都有你的技术然后得到结论所有的安全措施都将形同虚设,那就想入非非了。所谓领先,就是指少数,要想领先就永远摆脱不了成为少数。
----------------------
另:“虚拟机当然指的是杀软件用来脱壳的简易虚拟机”
其实你说的“简易虚拟机”应该叫“沙盒”(Sandbox)。因为它不是一个虚拟的机器,仅仅是一个通过Hook一些API获得的虚拟的环境,叫虚拟机会混淆概念的。
Prz 最后编辑于 2008-01-30 03:04:53