創作內容

0 GP

Process Monitor v1.32 簡體中文原始測試跟脫殼加殼比對之差異、及『殼與防毒軟體的關係』

作者:無痕之音│2008-06-23 16:52:31│贊助:0│人氣:1347
.
..
..
..
..
..
..
..
..
..
..
..
..
..
..
.
.
.


‧‧‧‧‧‧‧‧‧‧‧‧‧‧‧
※(修正) Process Monitor v1.32 簡體中文版與YOYO回答之更詳細的『殼與防毒軟體的關係一文』

本篇接續我上一篇文『Process Monitor v1.25 中文版 VS 官方1.33 比對結果』

一些內容該篇便已說明過,所以本篇簡單地表達,而且上次將電腦更新 WINXP SP2→WINXP SP3,導致1.25中文版無法相容使用,故特地又去找了大陸網友製作的 1.32 簡
體中文版:

Process Monitor v1.32簡體版載點:
http://www.cncrk.com/downsoft/6166.html



--------------------------------------------------------------------
Process Monitor v1.32簡體版 VIRUSTOTAL 掃描結果:
http://www.virustotal.com/zh-tw/analisis/8f571297bb1e9d2f432ced16f7ef87ea

檔案 Procmon1.32.exe 接收於 2008.06.23 09:37:49 (CET)
當前狀態:
結果: 0/33 (0%)

結果:全部掛零。

-------------------------------------------------------------
下篇為網際論壇: ic2266 大的對個人之回答跟測試:
(個人要對此論壇眾網友致敬!成語有云:不經一識 不長一智)

+++++++++++++++++++++++++++++++++++++++++++++++++++

您再再的對所有為繁體中文化默默付出的人們,不信任、不相信、並且意有所指的影射中
文化作者有可能會在軟體動手腳,實讓個人無法接受這莫須有的影射,每位中文化的作者並
無薪資可穫,出自一片熱誠,無非想讓國人有個較親切的操作介面,在使用上更得心應手,沒
想到卻得落得此下場,為所有中文化作者感到悲哀~

在以下我就讓您認為是可以信賴使用,不得不佩服大陸網友製作的 1.32 簡體中文版,
一樣讓您失望:(檔案一樣送到您認為最高指標的 virustotal 受測):

以下為 yoyo兄的 Procmon(個人脫殼完重新加 Aspack殼)測試結果:
http://www.virustotal.com/zh-tw/analisis/0293b5d808fa8ba0ad95dea63eab0375

以下為 大陸網友製作的 1.32 簡體中文版測試結果:
Procmon.rar 加ASProtect殼:
http://www.virustotal.com/zh-tw/analisis/5ef97951aa19e29ad892bf83cb237f3a

Procmon.exe(沒用 rar壓縮,因為壓與不壓都一樣) 加ASProtect殼:
http://www.virustotal.com/zh-tw/analisis/86a70d5b9ca12dab9ae1be9e9d608eb9

Procmon.exe(沒用 rar壓縮,因為壓與不壓都一樣) 加RLPack殼:
http://www.virustotal.com/zh-tw/analisis/c5aeeaf51593ca73ffd33daa650fcd6e


--------------------------------------------------------------------
Process Monitor 這套強大功能的軟體是微軟發出的,完全免費使用!

※註:偵殼、脫殼這類軟體對防毒軟體敏感度很高,很多都會被判定為惡意軟體。
   更別說程式工程師常用的反組譯檢查程式碼及堆疊(Stack)專用工具
   『OllyDBG』、『KAM』等等敏感軟體....

※補充:
就個人所知,目前免殺木馬之進度滲透率可達90%以上,當然,這也包括33套全過的
可能性,及破壞、繞過防軟的HIPS在內。
所以對於一套軟體之使用,還是依正確的使用習慣、跟比對觀念,並盡可能做出
最正確之判斷。

參考結論:
當抓下一個中文化免費分享檔案後(尤其是路上亂撿,非固定、可靠管道取得的軟體),
請盡量跟官方提供的軟體交叉比對,這才是安全的自保之道,現在盜版橫行、免費軟體
滿天飛、破解機俯拾即是,身在網路叢林的我們,豈能不慎。

補充:若是不明的管道,若要查覺一套軟體是否有問題,就只好依據使用經驗跟HIPS
進程的結果,並對此盡可能做最正確之判斷...
不明的連結跟輸出若不屬該軟體該有之動作,切不要亂允許。

----------------------------------------------------------------------

yoyo007區版主 作者說明文如下:


1. 謝謝告知,歡迎轉帖;

2. 建議您了解一下殼與防毒軟體的關係:
http://blog.seekinfo.com.tw/70.html

3. 看完以上文章,可以理解中文化版、漢化版、官方版之間,為何掃瞄結果有差異了嗎?

4. 1.25 到 1.33 中間經過幾個版本的更新?您應該拿官方 1.25 來測試 XP SP3 環境下
能不能執行,而不是拿 1.33 來比較 1.25。

5. 再說一次:VirusTotal 的掃描結果只是起參考作用,基本我加殼只考慮幾個一般常用
的防軟的掃描結果,通常帶殼要過 33 個防軟偵測,要不是老牌壓縮殼、要不就是新開發
的殼、要不就是加密的連防軟也無法辨識的殼,或說,加密/保護特徵符合防軟的特徵碼,
或排除在防軟的特徵碼之外... 等等。

6. 用的不安心,把檔案刪除即可,或非用不可又有疑慮,建議 Sandbox 底下測試;
另外,33 個都能過,不表示檔案就一定安全,另一種情況是:當時能過的殼,後來在被
病毒木馬濫用的情況下,結果就是慘遭防軟全面封殺,這是很無奈的事。

7. 注重軟體安全是個好習慣,但希望您能學會辨識一下可能的原因,以及取捨參考依據
,否則只是自擾擾人罷了。

以上,也誠心建議。1.33 我還沒有中文化的打算。

補充一下:

我似乎沒有放木馬病毒的必要。


+++++++++++++++++

結論:個人因為算是初開始接觸軟體關於『殼』的部份,由於『加殼』這個程式用來保護
自己的手段,一向是相當奧秘難以區劃,正規來說,屬於防毒軟體、中文化業者、進階玩
家的領域,因此個人發表的文章,以及VIRUSTOTAL掃描的判斷結果,這些皆僅供參考,個
人只是發表心得並提供各位先進一些資訊,並從另一個角度跟看法去出發看待『防毒誤判』
之事。

而其詳細的解答跟說明,除了於中文領域有相當豐富經驗的YOYO大的說明外,YOYO他還
給個人一個參考 ==== 殼和防毒軟體的關係 ==== 的文獻,除了個人因才淺仍需學習外
,也一併稍列於文末參考補註之。

----------------------------------------------------------------------
▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤『補註』:▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤


殼(Packer)與防毒軟體


殼(Packer)簡介

什麼是殼? 簡單來說,將可執行檔案 (EXE, DLL, SCR…) 壓縮或進行編碼處理的程式,
稱之為殼 (Packer),而此動作通常稱為加殼。加殼和一般常見的 WinRAR、WinZip 等壓
縮程式有何不同? 主要差別是,殼僅針對可執行檔案處理,而且加殼後的檔案仍可直接
執行 (如果成功的話),不必另外手動先解壓縮的程序。

那為什麼要加殼? 加殼後的檔案可能會比原始的大小減少許多,可節省佔用的空間;
或者想躲過防毒軟體的偵測。

傳統的防毒軟體技術,是藉由特定的特徵碼來判定是否為惡意程式。通過加殼處理的檔案
,其內容已經改變,所以透過特徵碼的比對,便無法辨識。因此,目前的惡意程式有極大
比例都是經過加殼處理。

那加殼處理用來對付防毒軟體果真有效? 惡意程式加殼處理之後,防毒軟體是否仍可偵測
出來? 或者不行? 即然多數惡意程式都經過加殼處理,是否有某些防毒軟體見殼就報?
本文進行實際測試,看看這些答案為何?

加殼程式清單

我們分別找了十個惡意程式及十個正常無害的檔案,並利用下列十二個加殼程式,分別對
這些檔案進行加殼處理。為了避免無效的測試,所有樣本及加殼之後的檔案,如果有無法
執行的情形,均予以排除。

* ASPack 2.12
* eXPressor 1.5.0.1
* FSG 2.0
* KByS 0.28 beta
* MEW11 SE 1.2
* NsPack 3.7
* nPack 1.1.300.2600 Beta
* PECompact2 2.79
* Petite 2.2
* RLPack 1.17
* UPX 3.00w
* WinUpack 0.39final

防毒軟體清單

接下來我們使用下列的防毒軟體,分別進行掃描,看看這些防毒軟體是否仍可以偵測出來
各種加殼後的檔案或者會不會將加殼後的正常檔案誤報為惡意程式。

* avast! v4.7 Professional
* Avira AntiVir Windows Workstation v7
* AVG Anti-Malware v7.5
* BitDefender Antivirus v10
* CA Anti-Virus v8.4
* Dr.Web for Windows v4.33.2
* F-PROT Antivirus for Windows v6.0.7.1
* F-Secure Anti-Virus 2007 v7.02
* FortiClient v3.0.459
* Kaspersky Anti-Virus 6.0 for Windows Workstations
* McAfee VirusScan Enterprise 8.5.0i
* Microsoft Windows Live OneCare v2.0 Beta
* NOD32 v2.7
* Norman Virus Control v5.90
* Panda Antivirus 2007
* Sophos Anti-Virus v6.5.7
* Norton AntiVirus 2007
* Trend Micro AntiVirus 2007
* VBA32 Workstation v3.12.0

測試結果

詳細的測試結果請參閱這裡(解壓縮密碼: pwd@avpacker)。如果對結果有疑慮,我們可以提供防毒軟體掃描的記錄給您參考。

統計

本項測試,總共有 113 個加殼後的惡意程式及 112 個加殼後的正常程式。各防毒軟體無法偵測及誤判的數據如下圖:



結論

從這次的測試中,得到一個心得,想像中的結果或者人人口耳相傳的說法,不見得與事實
相符。例如: 網路上某些人說 Dr.Web 的解殼能力勝過 Kaspersky,但從結果看起來,恰
巧相反,Kaspersky 在這方面的能力略勝 Dr.Web 一疇。從這個結果我們歸納幾點結論並
補充我們的看法。

* 目前加殼處理的惡意程式與未加殼的相較,佔有極高的比例。我們不認為報殼是壞
事,前提是能夠精準分辨正常或惡意程式的加殼。這也是我們使用正、反兩類的樣本去測
試的原因,我們希望分辨出是亂報殼,還是真的有解殼或特異的分析能力。

* 解殼或正確分析加殼檔案應該是防毒軟體具備的基本能力。加殼並不用特殊技術,
但加殼後的檔案卻可能讓舊的惡意程式躲過防毒軟體的偵測。而且加殼處理後,惡意程式
的數量,可膨脹數倍至數十倍,如果防毒軟體需要各別分析所有加殼後的檔案,恐怕落得
疲於應付的局面,甚至讓客戶曝露在惡意程式的威脅下。像這次的測試,我們僅使用 10
個舊的樣本,卻讓不少防毒出現數十個無法偵測的狀況。(例如: 無法偵測的數量,CA
有 74 個、FortiClient 有 52 個、McAfee 有 40 個、Panda 有 47 個、Symantec 有
63 個、Trend Micro 有 75 個)

* 從我們可疑檔案資料庫發現,AntiVir 擁有極高的偵測率,往往都能在第一時間
(未經回報樣本) 偵測到惡意程式,但其中相當高比例是加殼的名稱 (例如: 命名中含有
Crypt 字串),我們很好奇是不是多數加殼檔案都會被 AntiVir 偵測為惡意程式。事實證
明並不會,雖然 AntiVir 誤報了 14 個,但也僅佔所有樣本中的 12.5%。當然這樣的比例
仍偏高,因此 AntiVir 應該仍有改善的空間。

* 加殼的檔案並不等於是惡意程式。所以如果有無法解殼或無法分析的檔案,不應亂
報一通。看起來 CA、Symantec、Trend Micro 似乎不太能分析加殼的檔案,但至少誤判數
是 0。相形之下,FortiClient、McAfee、Norman、Sophos 似乎有待加強。另外,用
eXPressor 加殼,AntiVir、BitDefender、Norman 幾乎都報;用 KByS 加殼,avast!、
Dr.Web、F-Secure、Kaspersky、McAfee 幾乎都報。我想這些都是很明顯的錯誤,還有其
他的例子,有興趣的人可以從 PDF 裡面所記錄的結果得知。

* 從結果來看,不少防毒軟體都有分析加殼檔案的能力 (是解殼或特殊的分析技術不
得而知),但是表現較差的產品其原因不外乎是分析的能力不夠精確或者可分析的殼種類不
夠多。

* 在這次測試的 12 種加殼工具中,某些似乎是防毒軟體的最愛,不管是病毒的作者
或一般的軟體開發人員,都應避免使用,以免被偵測到或被誤判。

* 本次的測試僅以單一加殼處理,如果採用多重加殼,其結果也許會有些差異,有興
趣的人可以測試看看。或者如果我們改天有機會可以來做第二次的測試。

* 防毒軟體的好壞無法透過單一指標來衡量,故本測試僅供參考,選用任何產品之前
,請更全面考量與評估自己適用的產品。

---------------------------------------------------------------

本文張貼於 Wednesday, July 18th, 2007 at 10:46 pm 並分類為 防毒, 文件. 您可以
透過 RSS 2.0 feed 來追蹤任何的迴響. 您也可以 留下迴響, 或從您的網站 引用通告
(trackback).

▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤『END』▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤▤
本篇原始文章下文還有,請見前面yoyo大提供的文章來源解答。
引用網址:http://home.gamer.com.tw/TrackBack.php?sn=717600
All rights reserved. 版權所有,保留一切權利

相關創作

留言共 0 篇留言

我要留言提醒:您尚未登入,請先登入再留言

喜歡★wellss 可決定是否刪除您的留言,請勿發表違反站規文字。

前一篇:※作業系統※(08/03... 後一篇:『轉貼除錯工具』Olly...

訂閱

作品資料夾

j60729巴友們~~
新開箱 和平守護者 妖精少女 雛菊1/6PVC完成品 歡迎來看看喔http://home.gamer.com.tw/creationDetail.php?sn=2417326看更多我要大聲說昨天19:43