首頁 | 網站地圖 | 聯絡我們
« 殼(Packer)與防毒軟體
客戶經常問的病毒相關問題 »

殼(Packer)與防毒軟體 Part 2

 » Bookmark on del.icio.us

由於很多人的誤解, 所以只好再寫這篇文章補充說明. 關於 “殼(Packer)與防毒軟體” 這篇文章的說明如下:

  • 這個測試不是在測防毒軟體的 “解殼” 能力. 文章裡面有提到, 是 “解殼” 或 “報殼” 或有特殊的技術, 甚至是帶殼入庫, 我們並不認為有什麼差別. 所以我們在文章中也說報殼不是什麼壞事. 對 User 來說, 防毒軟體能正確偵測到惡意程式, 不要誤判, 就這樣而已.
  • 請不要只看表面的數字, 有興趣請看看 PDF 檔案裡的內容, 我們清楚記錄每一個檔案被各防毒軟體偵測到的名稱, 而且是實際裝起來掃描的, 不是用 VirusTotal 測試的.
  • 有沒有防毒軟體是帶殼入庫? 這樣會不會失去準確性? 我們測試的 225 個檔案, 是我們自己用各種加殼工具產生出來的, 事前並未給任何廠商, 但我們無法保證是否有廠商剛好以前就取得某些同樣的檔案. 但這不重要, 畢竟對 User 而言, 那就真的是可以偵測到. 那這樣是否不公平? 並不會. AV-Comparatives 偵測率的高低, 難道不是取決於防毒軟體廠商是否於事前透過其他管道取得與測試樣本相同的檔案, 所以成績會有高低之別?
  • 這次測試所使用的檔案, 全都一一執行過, 無法執行的檔案已經事先剔除掉, 我們不做無意義的測試. 這個在文章裡面已經說明.
  • 因為我們不是測 “解殼” 能力, 所以在惡意程式的樣本中, 即使從名稱中看來明顯是報殼, 或同一種殼正、反二種樣本都報, 但我們仍列為有偵測到 (PDF 中可以清楚看到), 對 User 來說這就是事實. 如果防毒軟體無法偵測原始未加殼的檔案, 則此檔加殼後的 12 個樣本的結果並不列入統計 (同樣在 PDF 檔案裡已經註明).
  • 如果您不相信這個測試的結果, 我們可以理解. 如果不是我們親自做這個測試, 我們也不敢相信. 但驗證的方法是, 您自己做一次同樣的測試, 就能得到您的結果. 結果會不會近似, 我們不得而知. 防毒軟體也會進步, 所以不同時間做, 結果也會不相同.
  • 這個測試和一般防毒偵測率的測試 (例: AV-Comparatives) 截然不同, 所以不必用同樣的思維模式來看待. 我們也沒有任何計劃或意願做這類偵測率的測試.
  • 我們認為測試結果的數字並不重要, 重要的是反應出加殼的檔案是否造成防毒軟體無法偵測或誤判. 這個測試真正要思考的問題是, 為什麼只用二十個舊的檔案, 經過簡單 (確實沒什麼技術性) 的處理之後, 這 19 套防毒軟體就得到這樣的結果? 不必談太多技術性的細節, 請站在 User 的角度來看, 這樣的結果是否代表軟體開發人員所設計出來的程式如果加殼再發佈就可能被誤判, 而有心人士卻可以輕易產生避開防毒軟體偵測的惡意程式?
  • 不必因為 NOD32 是我們銷售的產品, 而對這個測試中的 NOD32 成績有特殊的質疑. (NOD32 並不是我們唯一銷售的防毒產品, 不同的客戶我們會建議不同的防毒軟體. 能讓客戶不中毒的, 才是好產品. 沒有完美的產品, 只有適不適合的產品. 我們曾經有個客戶要求我們報 NOD32 企業版 600u 給他, 但我們放棄這個機會, 請他換用別的產品. 也曾有一家上市公司, 主動找我們指名要買 NOD32 企業版, 後來也傳來訂單, 但經過我們深入了解之後, 發現 NOD32 根本解決不了該客戶眼前所中的病毒, 所以我們主動請他取消訂單, 改用其他的產品.) 事實上, 這個測試不是為了 NOD32 而做的, 起初原本只是想測試 AntiVir 是不是會亂報殼, 所以簡單做了幾個測試. 因為測了好幾個正常的檔案都沒報, 所以引起我們的好奇, 究竟什麼狀況下會報殼? 所以才決定用更多的加殼工具及正、反二面的樣本來測試. 在測試結果出來之前, 我們也沒打算公開. 只是結果太令我們驚訝了, 所以才把資料整理出來, 讓有心的人可以參考看看. (不過, 事實上似乎很少人關心真正的結果, 多數人眼中只有那些表面的數字吧!)

本文張貼於 星期日, 7 月 22nd, 2007 at 10:27 am 並分類為 文件, 防毒. 您可以透過 RSS 2.0 feed 來追蹤任何的迴響. 您也可以 留下迴響, 或從您的網站 引用通告(trackback).

13 則迴響在 “殼(Packer)與防毒軟體 Part 2”

  1. 路人丁 說:
    7 月 24th, 2007 at 12:08 am

    希望你們的用心能讓客戶看見,祝社運昌隆!
    在軟體盜版猖獗的台灣還把得來不易的訂單推掉,真的需要非常大的勇氣。

  2. S. Peter 說:
    7 月 29th, 2007 at 4:30 pm

    讀完後,我覺得這是相當切合一般防毒用戶實際考量的測試,結果也相當有趣、推翻了不少刻板印象。

    有些軟體(如BD)會在官方資料中說明它能解開的PACKER,不知道貴公司有沒有將結果與其對照,查證他們是否真的能正確處理標榜能處理的加殼種類?

  3. Steven 說:
    7 月 29th, 2007 at 11:01 pm

    從結果來推測, BitDefender 有可能確實有解殼的能力, 但並不是全部. 至少這次所使用的 12 種加殼工具中, BitDefender 應該沒有分析 eXpressor 及 RLPack 這二種殼的能力, 從結果來看, BitDefender 會亂報這二種殼所產生出來的檔案。整體而言, 在這次測試的 19 種防毒軟體中, BitDefender 雖然不是最好, 但尚可接受, 如果他們能增加分析 eXpressor 和 RLPack 這二種殼會更好。

  4. S. Peter 說:
    7 月 30th, 2007 at 10:28 pm

    貴公司進行這次測試的動機是想知道「AntiVir 是不是會亂報殼」這個多數人口耳相傳的說法,有個較基本的問題想請教,就是加殼後會使程式出現同樣的特徵碼嗎?

    舉例來說,將一個惡意程式和一個普通程式以同樣加殼軟體處理,雖然其內容都已經改變,但是否會產生一樣的特徵碼?因為只要內容不同,從加殼的惡意程式中再取一段特有區域來當特徵碼,就不會有見殼就報的問題。但是這樣就變成要為同樣的病毒建立許多個特徵碼來因應不同的殼。不知從數據能否推出防毒程式的判斷方式?

    再請問,貴公司會代理AntiVir的付費個人版嗎?

  5. Steven 說:
    7 月 30th, 2007 at 11:20 pm

    如果以這次我們所使用原始的 20 個檔案, 經過 12 種加殼工具所產生的 215 個樣本來看, 每一個檔案都與原始的檔案內容不相同. 但我們無法知道是否經過加殼之後, 已經改變了原本防毒軟體特徵碼比對的關鍵內容。甚至, 我們也不知道這 19 套防毒產品, 對同一個檔案判別的特徵碼都相同. 不過, 如果從某些防毒軟體無法偵測加殼後的檔案, 以及偵測的名稱已經改變這二項結果來推論, 加殼之後的檔案, 應該是已經改變了某些(或全部?)防毒軟體特徵碼偵測的關鍵內容。

    這個測試雖然前後花了我們很多天的時間, 不過也得到幾個結果. 其中, 我們確認 AntiVir 並不會亂報加殼的檔案. 但與某些防毒軟體相比較, 我們並不認為 AntiVir 有非常好的解殼能力. 至於 AntiVir 究竟是怎麼判斷加殼的檔案是有害還是無害的?! 這本來是我們想解開的答案之一. 不過, 至今我們仍然想不懂. AntiVir 在這方面的能力, 確實非常獨特.

    雖然我們是很單純站在 User 的角度來看這個測試的結果, 是否誤判及是否有無法偵測的惡意程式, 就這樣而已。但是事實上, 我們自己認為同一個檔案, 無論加殼與否, 如果防毒軟體能偵測到相同或非常接近的名稱, 這樣在技術上(分析加殼檔案方面)才是比較高明的產品。例如: VBA32, NOD32, Microsoft 這三種, 其次像 Kaspersky, F-Secure, avast!, BitDefender 看起來也有一定的程度。前面為什麼說 AntiVir 這方面的能力很獨特? 看起來 AntiVir 不像這幾套防毒幾乎都能偵測到相同或非常接近的名稱, 從名稱來推測, AntiVir 應該是不能完全看懂加殼檔案原始的內容。但是 AntiVir 的誤判數或無法偵測的數量, 卻又沒有像其他防毒軟體 (例如: CA, FortiClient, McAfee, Trend Micro, Symantec) 那麼多。

    不過可以確認的是, AntiVir 在處理加殼檔案的部分, 仍需更加精進. 畢竟誤判的機率相對於某些表現良好的產品來說, 仍然稍嫌高了點。

    如果有興趣購買 Avira AntiVir PersonalEdition Premium, 請參考 http://www.seekinfo.com.tw/store/shopping/6

  6. S. Peter 說:
    7 月 31st, 2007 at 8:39 pm

    非常感謝您的詳盡說明。

    看到購買頁了,價格相比之下不錯,我會去找盒裝版購買,謝謝。最後,有鑑於多數對防毒軟體所知有限的用戶視英文介面如畏途,想請問貴公司或AVIRA有考慮推出中文化程式(如之前BitDefender的PATCH)或中文版嗎?

  7. Steven 說:
    7 月 31st, 2007 at 9:17 pm

    Avira 的產品並無法做中文化, 所以我們也不可能推出中文化的程式。

  8. Nameless 說:
    9 月 18th, 2007 at 12:24 pm

    能讓客戶不中毒的, 才是好產品. 沒有完義的產品, 只有適不適合的產品

    似乎怪怪的,應該是”沒有完美的產品”吧。

  9. Steven 說:
    9 月 18th, 2007 at 1:24 pm

    已更正, 感謝您的指正.

  10. Kuon 說:
    11月 30th, 2007 at 9:15 am

    “Avira 的產品並無法做中文化” 我對這個說法比較趕興趣. 是商業問題還是技術問題.

  11. Steven 說:
    11月 30th, 2007 at 10:21 am

    大概有幾個問題吧..

    1. 從技術的角度來看, 我們確實不知道如何將 Avira 中文化, 而且能夠正常更新.
    2. 從法律的角度來看, Avira 應該也不允許我們做這件事.
    3. 從市場的角度來看, Avira 不會有興趣做繁體中文的版本 (至少目前是如此吧). 繁體中文的市場有多大? 從過去的一些經驗來看, 國外的廠商都並不見得願意投入任何的資源來做這件事, 即使已經免費把相關文字翻譯給原廠, 原廠卻一直推拖.
    4. 以防毒軟體來說, 中文化真的很重要嗎? 我知道, 有很高比例的人說很重要. 可是我想舉一個例子, 我們有不只一個客戶, 他們買的產品是有繁、簡體中文的, 可是他們選擇用英文版. 為什麼? 因為這些客戶除了台灣, 還在大陸等地有分公司. 如果對岸的同胞都可以接受英文版, 台灣為什麼不行呢?
    5. 消費者支持廠商做這樣的事情嗎?

  12. Joseph 說:
    12月 3rd, 2007 at 9:50 pm

    您好,

    請問貴公司有販售 http://www.avira.com/en/solutions/avira_antivir_campus_license_for_colleges.html 嗎?

  13. Steven 說:
    12月 3rd, 2007 at 10:33 pm

    有的, 而且半年多前就有大專院校開始使用. 負責的業務人員會主動與您聯絡.

您的迴響