相關評論：殼(Packer)與防毒軟體

作者：Steven

Steven — Fri, 30 Nov 2007 01:54:52 +0000

原本我們的出發點很單純(絕對不是為了推銷某個產品而寫), 可是看的人並不單純, 所以用各種預設立場來解讀這篇文章. 這篇文章只是描述一個現象而已, 防毒軟體技術的優劣, 與是否能避免 User 免於惡意程式的威脅, 並沒有絕對的關係.

作者：Kuon

Kuon — Fri, 30 Nov 2007 00:40:54 +0000

有趣的測試.
1.測試的出發點我覺得很好, 只是原文解釋的不夠. 尤其是測試的理念, 而不是過程. 測試的理念都等到comment才回po, 這樣就讓一開始看原文章的人釐不清測試的範圍和目的….
2.「通過加殼處理的檔案，其內容已經改變」, 這句話應該是這樣的, 有的殼是對Native Code編碼(Pack/Encrypt), 執行時還原; 有的殼是改寫target code (Obfuscate), 那麼很可能就不需要額外的 section 來作 run-time handler 之類的(手法很多, 不一定是這招, 純舉例). 不過強一點的殼, 多數並存兩種方式. 差異在改寫code的過程是自動化還是透過SDK來作.
所以我覺得這一點還好, 只是沒寫的那麼嚴謹而已, 否則, 這要講究, 還得把每個殼的差異性評定出來才是~~ccc
3.雖然是代理商, 而以保持中肯的技術分析, 也許是形象的訴求手法, 但我給以肯定…. 加油.
4.oh 我沒待過各大防毒軟體上下游, 所以沒什麼產業包袱的:P

作者：Nameless

Nameless — Tue, 18 Sep 2007 02:13:13 +0000

看完了席克這篇測試文，覺得非常中肯，請借小弟引用一下，難得看到一篇這麼精彩的文，這筆那些單方面測偵測率的報告來的準確，畢竟一個好的產品不只偵測率要高，誤判率也要低，NOD32是小弟覺得很不錯的一款產品，我真的沒遇到NOD報殼的，NOD的引擎的確蠻優秀的，但是啟發式的誤判問題也是有，舉個例，小弟曾經想抓個對岸的某個會touch到記憶體部分的軟體來玩，結果解壓縮後就報了，我記得是PE…..(我只記得PE兩個字)，還有之前曾經想在一臺裝有NOD的電腦上開天空之城加速器來玩(只是無聊而已)，結果也報了，如果這類問題特殊程式造成誤報的問題能夠再解決一下(這個應該不好解決)，NOD就是我理想中的防毒了。

作者：路人丁

路人丁 — Mon, 23 Jul 2007 16:02:30 +0000

先說聲謝謝，貴公司真有趣，還會主動把訂單退掉:)

作者：Steven

Steven — Sat, 21 Jul 2007 02:10:50 +0000

To 無名氏,

1. 有的, 每一個檔案 (包括未加殼或加殼後的檔案) 我們都實際執行過. 所以理論上 20 未加殼的檔案各用 12 種加殼工具去測試後, 應該有 240 個樣本檔. 但我們的測試中, 只有 225 個檔案, 因為我們剔除掉無法加殼或加殼後無法執行的檔案. (實際上這 20 個未加殼的檔案並不是一次就挑選上的, 在我們隨機挑選樣本的過程中, 某些檔案似乎很難被加殼處理. 所以這種我們也不要了, 另外再找其他的. 最後才找出這 20 個大致上都能加殼的. )

2. 病毒庫的新舊沒關係. 因為我們要測試的是原始未加殼但可被防毒軟體偵測的檔案, 經過加殼處理後, 防毒軟體是否還能精確判別. 這也是為什麼我們要用正、反二類的樣本來測試. 因為我們想確定, 是否有某些防毒會報殼. 再說一次, 我們不認為報殼是不好的, 但我們認為要有能力判別正常檔案或惡意程式才行. 雖然我們是從 20 個未加殼的檔案去使用工具得到 225 個樣本, 這 225 個測試樣本我們並未事先交給任何一家防毒廠商. 不過我們無法保證, 會不會事前剛好某些防毒廠商就取得某些同樣的樣本. 也就是已經入庫了. 但我們用 20 個檔案及 12 種加殼工具去測, 就是希望降低這種巧合. 不太可能那麼巧, 有某些廠商事前剛好都取得 225 個樣本吧?!

3. 同樣的, 在 pdf 檔裡面詳細記錄了每一個檔案被防毒軟體偵測到的名稱為何, 包括 NOD32, 所以您可以仔細看一下. 不過, 我要澄清一下, 我們並不是在測防毒軟體的 “解殼” 能力. 前面說過, 報殼不是壞事, 不管防毒軟體是否能解殼, 或者有什麼特殊的技術, 總之只要能精確分析加殼後的檔案, 是不是惡意程式即可. 對使用者而言, 是報殼或解殼, 並不重要. 只要能不誤判正常檔案, 惡意程式都能報. 這才是重點. 而且這個測試也不是在測防毒軟體對 “新” 的惡意程式的偵測率(我們也沒有任何計劃想做這類的測試). 我們使用的都是舊的, 已知的樣本. 未加殼前防毒軟體都能正確判別 (少數例外, 但結果已排除在統計數據中), 不管用哪一種加殼工具, 程式的功能並未改變, 防毒軟體理應可以偵測才對.

4. 雖然 NOD32 是我們銷售的產品之一, 不過其實不必對這次測試的結果, 對 NOD32 有刻意的眼光看待. 我們自認非常公平的看待每一個產品, 而且結果出來之後, 連我們自己都很驚訝. 好幾個產品的結果讓我們很難相信, 但事實就是如此. 而且這個結果真的不代表我們就推薦某些產品, 舉例來說, VBA32 和 Microsoft 的成績很好吧! 但我們不認為這二個產品是適合 User 使用的. 理由是, VBA32 竟然無法測到這些舊樣本中的 4 個, 而且送樣本給他們, 超過一週都沒處理, 這種用會安心嗎? Microsoft 我們感覺用起來很不順手, 又很慢, 用過之後根本就沒想再用了. 再說一個好了, F-PROT 成績也還算可以吧, 但一樣送樣本一週後仍無下文, 而且在我們的可疑檔案資料庫中, 經常看到, 幾乎全部的防毒都能偵測, 就 F-PROT 不行, 這樣我們實在是不敢用啊.

以上希望這樣的說明, 能解答您的疑惑!

作者：無名氏

無名氏 — Fri, 20 Jul 2007 16:25:48 +0000

再補充一點
關於NOD32有些尚未加殼的樣本就是報啟發式了,而非報已知病毒

這樣如何證明NOD32的脫殼能力?說不定有些樣本加了殼後變成報啟發了

作者：無名氏

無名氏 — Fri, 20 Jul 2007 16:22:12 +0000

抱歉,我沒注意到有PDF檔

請問你們有確定樣本加殼後都能執行嗎? 某些樣本加殼後就變成無效的檔案了

還有一點,當然跟病毒庫新舊有關,因為很多廠商就是愛帶殼入庫

作者：Steven

Steven — Fri, 20 Jul 2007 14:15:41 +0000

To 無名氏,

1. 想必您沒有看過 PDF 檔裡的內容, 甚至您沒有弄清楚我們測試的內容. 所有原始未加殼的檔案, 如果防毒軟體不能偵測 (VBA32, F-PROT, Norman 都有, 但我們在一週前就送給他們了, 沒下文也沒辨法. 至於 McAfee 和 Panda 是我們的失誤, 原先以為可以偵測的, 所以並未送樣本給他們. 不過, 這些原始未加殼的檔案如果該防毒軟體無法偵測, 那個檔的加殼後的樣本, 我們就不列入統計. 這個在文章裡都已經有說明了)

2. 掃描速度不是本次測試的項目. (不過我要說, 有某些防毒軟體的掃描速度還真是明顯很慢. 在測 NOD32 時, 我們並沒有明顯感覺特別慢.)

3. 每個檔案是否可以被偵測, 請參見 PDF 檔.

4. 防毒軟體的更新時間在這項測試中並不重要. 這個測試和一般偵測率的測試並不相同. 我們是拿已經可被防毒軟體偵測的舊樣本來測, 所以沒有病毒碼新舊的問題.

5. 文章最後面說了: “防毒軟體的好壞無法透過單一指標來衡量，故本測試僅供參考，選用任何產品之前，請更全面考量與評估自己適用的產品。” 我們並不是要測試出一個 “最好” 的防毒軟體, 所以掃描時間或其他更多的指標並沒有放入這項測試中.

作者：Steven

Steven — Fri, 20 Jul 2007 14:00:33 +0000

To Roger,

1. 也許我在文章一開始的地方沒說的很詳細, 而且說 WinRAR/WinZip 這類要先解壓縮也確實有語病. 不過本文重點還是放在防毒軟體能否正確偵測到加殼後的檔案.

2. 至於是否加殼後的內容完全相同? 我無法肯定有沒有. 至少這次測試的檔案裡, 並沒有這種例子存在. (不過加殼後完全相同? 那還要加殼嗎? 還是我誤解了您的意思..)

3. 我不認為所有的防毒軟體都對 packer 無解. 至少這次隨機找到的二十個檔案加殼後所得到的 225 個檔, 有些防毒的表現確實很好. 我們在 PDF 裡面詳細紀錄了掃描結果, 說防毒軟體對 packer 無解我們無法認同.

作者：無名氏

無名氏 — Fri, 20 Jul 2007 13:00:05 +0000

測式不公

說某些殺軟對殼束手無策

你們沒有把未加殼的樣本測試過阿,哪知道加殼前所有防軟都可以測到,加殼後束手無策

還有NOD32對加殼樣本掃描速度實在是太慢了

建議下次測試
1測試未加殼樣本偵測率
2測試加殼樣本偵測率
3測試掃描時間
4題供防軟更新時間證明,必免病毒庫時間不平等