用打包程序的坏处......

不知"粘土火星"这位高手对国内外杀软的了解程度如何.
瑞星搞虚拟机脱壳是不假的,但搞的如何还不好说.

不用杀软的原因:
1.杀软对系统的内存/CPU占用可观;
2.杀软的查杀能力逐渐慢于病毒技术的发展(可惜国内流行的病毒技术含量却不高);
3.各大杀软(尤其是国内的)的宣传总是夸大其词;
4.高手都对系统是否异常十分敏感;
5.高手下载一个程序都能根据经验判断是否有恶意;
6.高手经常备份重要的文件;
7.高手能手动解决大多数木马,即使系统崩溃也能在半小时内装好;
8.可以安装一些辅助类工具,如360安全卫士,比杀软对系统影响小得多.

过去我用过分析过的杀软可不少,只是现在总结出不用杀软才是上策(只针对我自己).

原帖由 粘土火星 于 2008-1-28 22:08:00 发表 而是后半句实在是让人觉得没杀软常识。

我的后半句是这样写的:"国外杀软再简单地根据表面特征去判断就太BC了".
注意这是假设句,而且并不说明国外杀软都是简单的判断,至少是个别杀软的一些行为,我是从McAfee直接杀壳和解读Kaspersky特征病毒库的角度得出的结论.所以以为是怀疑的是前半句,抱歉造成误解.

原帖由 1=1 于 2008-1-29 11:46:00 发表 按您的说法也许杀软不该存在？ 那么请您天天忙碌于为别人手动清除病毒是很轻松的吗？

我在帖子中已经写了不用杀软是针对高手的,而且后面写了"不用杀软是上策"只是"针对我自己".
我个人是认为杀软存在是完全合理的,毕竟大部分人没有病毒防范常识,对病毒入侵系统毫无感觉,也不懂如何手动杀毒.
所以我建议一般人还是安装杀毒软件比较好,但我也经常遇到杀毒软件杀毒失败只好手动解决的情况.

原帖由 粘土火星 于 2008-1-29 13:58:00 发表 中毒之后再装杀毒，能杀成功的那是人品好。 楼上的高手，对自己好点……

如果是早期DOS/Win9x时代的病毒,那确实杀起来很困难.
但这些年很少有真正意义上的病毒了,到处是木马,说到底方法就是结束进程或进入安全模式,找到相关文件和注册表项删除或修复就完成了.


近几年从杀软的宣传中好像进步很大,其实本质上没多大改进,反而随着病毒/木马/壳的广泛普及,以及NT系统的研究程度来看,杀软已经逐渐落后于病毒了.这也使HIPS/还原类工具开始普及.但前者只是给高手用的,后者会给用户带来很多限制.

静态分析很早就有SMC的方法对付.虽然对用SMC的程序可以直接报怀疑,但总有方法隐蔽这种行为的.
动态分析的话估计没有一个杀软敢直接运行程序.
虚拟机脱壳也不是万能的,早已有获取系统罕见API返回值来解密代码的对抗方法.真正的虚拟机是不敢真正调用API的.
最终的出路也许只有HIPS了,而且还要保证它在病毒启动之前.

虽然做出一个隐藏非常好的病毒理论上不是不可能,但有这样能力且有闲时间的制作者少之又少,否则杀软早就被嗤之以鼻了吧.

21楼所指的虚拟机当然指的是杀软件用来脱壳的简易虚拟机,当然不可能虚拟硬件再虚拟运行一套OS,那代价太高.

还有,杀毒软件脱壳并不需要完整地脱壳,而是只等到原始代码写入完成即可.真正用虚拟机并不能保证脱壳,有些保护壳所解密的代码有可能不是可重入的,比如与tick count或硬件状态有关,或者有stolen code,这一般都没有非人工修复的可能.
发现脱壳结束也不好保证,有的壳有很好的伪装,看起来就和普通程序一样,但内嵌函数代码,达到一定条件时才释放并创建线程的方式执行,因此即使发现程序开始调用API并不能保证一定脱完最后一层壳了.因此虚拟机脱壳是不具备通用性和完备性的,

有些病毒/木马并不是启动后就立即干坏事,所以虚拟机也不能很快地截获到恶意操作.不得不人工分析.

抗生素是人为的,而细菌是自发的. 抗生素需要有细菌存在才有意义,但细菌却不依赖于抗生素而存在. 病毒和杀软也是同样道理, 病毒技术远超杀软(HIPS不算杀软)技术是有可能的,就像目前的数据加密技术已经远超对应算法的解密技术一样.

"我从一开始的那贴就说得是“代价高”的虚拟机，而且我早就指出了这一点。"

我在上面讨论的基本都是围绕1楼的论题"杀毒软件"和"壳"的方向,我不想把论点跑题到真正的虚拟机上.
真正的虚拟机对于杀毒软件来说在可预料的未来是不可能应用的.


"不论你再高级的什么壳，永远也摆脱不了释放代码（写）到一段内存后的某个时间又跑过去执行这样的异常举动。"

非要我举出一个例外么?如果壳也采用了虚拟机技术,而不是真正地跳转到原始代码上呢?


"而且我从来也没有否定病毒的技术超过杀毒软件，不要变更讨论的重心。"

病毒技术当然一直走在杀毒软件的前面,我上面所述的意思是病毒技术与杀软技术的发展速度开始拉开距离了.


"如果主流病毒技术提高，可以肯定绝对会出现相应的杀毒技术，因此你的“鄙视”是没有道理的。"

赫赫，楼上怎么又开始想当然了。这个"肯定"太绝对了,我只看到杀毒软件为了对抗不断提高技术的病毒开始像HIPS方向走了,杀毒软件原本的概念开始逐渐弱化.就是说病毒的技术在更新,而病毒的概念没变;但杀毒软件的技术已经不好提升,概念上逐渐开始转向HIPS.我也从没有"鄙视",请仔细读完再回帖.


"但“病毒”这个标签也是人给的。没有人他们就不存在了么？"

开始拿名称而不是本质来狡辩了,明显是在抬杠,我不跟你在比喻上纠缠不清了.


"但是如果你假设绝大多数人都有你的技术然后得到结论所有的安全措施都将形同虚设，那就想入非非了。"

这一点你不必解释,我前面已经解释那种观点只是一种假设了:"虽然做出一个隐藏非常好的病毒理论上不是不可能,但有这样能力且有闲时间的制作者少之又少,"所以说我所说的病毒技术和杀软技术只是一种理论意义上的,实际还未能很好地体现出来.量变还没有达到质变而已.

楼上说的很对,现在病毒的概念早已开始复杂化了,现在只是恶意程序的代名词而已.
无论是病毒还是木马,甚至玩笑广告性质的软件也不受大多数人欢迎,
杀毒软件最终会转向广义的系统保障软件,本质上我想会是HIPS+防火墙+数字签名认证,而且还要具备易用性和智能化.
脱壳对于系统保障软件来说也就没什么意义了.

使用虚拟机的壳释放的代码只把它看做数据,API当然也由壳去代理调用.
这个在理论上是可以实现的,只不过还没有公开的产品.

我并没有鄙视杀毒软件,只是认为对我来说弊大于利,
而且只用了一个虚拟语气说一句"否则杀软早就被嗤之以鼻了吧."

病毒是人为的不错,但它是历史必然的,所以可以说是自发的.
杀毒软件以后即使改进成纯HIPS核心也许也叫杀毒软件.
所以有些概念性问题大家就不要细究了,否则很容易纠缠不清.

杀软出现误杀或对病毒视而不见的情况我以为大家见的太多了.
除了这里有搞杀软行业的人外,我没想到维护杀软的人这么热烈.
我的不用杀软的理由也仅供参考而已.

正所谓"法不责众",正因为犯法的人只占很少的一部分,法才会有意义.
同时也正式因为“有这样能力且有闲时间的制作者少之又少”,杀毒软件才在实际中与之抗衡.
可能我在上面说了不少理论上的情况,看起来导致了不少误解.就算我没说好了.