议题提交：davy_yan [E.S.T]
信息来源：邪恶八进制信息安全团队

关于杀毒软件扫描引擎的一点想法
----分析卡巴斯基及诺顿等
Davy_yan 2005.5.7 夜
最近通过对诺顿及卡巴斯基杀毒软件的使用，测试，发现这些杀毒软件采用简单扫描对比特征码的手段并不能有效发现病毒及木马。
基于现实的（简单特征码对比）的提高病毒木马查杀效果的想法。
由于现在还没有一种更有效的技术替代特征码对比的手段，基于这一现实，构建一个有效的特征码库就是能否有效查杀病毒和木马的关键。
     诺顿，卡巴斯基等杀毒软件对特征码提取非常粗糙，也就是说很多时候这些杀毒软件所提取的特征码配合简单对比并不能实现有效的病毒识别。比如利用msjet40.dll获取系统控制的恶意.mdb文件，诺顿识别的特征码为“Id.ParentIdName”，而卡巴斯基识别的特征码为文件中某个部分是否为“0x430x430x430x43……”。究其原因，我认为不乏以下几点：
a)     诺顿，卡巴斯基等杀毒软件厂商为了减少反应时间，没有对漏洞进行全面的分析。
b)     杀毒软件提供商为了提高杀毒软件扫描速度及资源占用，没有提供完备的特征码用于查毒。
c)     杀毒软件不是防黑客攻击软件，病毒的形态及特征码一般来说比较固定，所以杀毒软件并不需要太多的智能。
根据我对信息系统安全的理解，信息的机密性往往比信息的可用性，完整性等要重要得多。病毒造成的损害往往只涉及到可用性等方面，而对机密性没有特别大的影响。黑客攻击主要是针对信息系统的机密性，一旦机密性遭到破坏，将会造成极大的危害。
a)     提取完备的，有效的特征码，分析软件漏洞成因，抓住关键点。
b)     从根本上改进简单特征码对比手段。对Office办公套件及IE等高危软件进行行为监控，对其行为进行分析，检测器是否被入侵。这种方法需要定义一个行为集合，配合简单的自动机模型进行检测。

心情不好，就到这儿了，：（

现在的杀毒软件都通过特征码扫描和匹配来扫描病毒,也可以这样说如果病毒库里没有某个病毒特征码那么就不能有效杀死该病毒.当然病毒库也在时时更新,可是病毒库更新的速度绝对赶不上病毒作者写病毒的速度.

难得见davy露面啊，前些日子才看了一些YY文，主要就是说这个的，什么时候才能有AI化的杀毒软件呢。

AI化的杀毒软件比较难吧

因为病毒的破坏定义也是由人去定义的

而病毒作者只要知道杀毒软件是怎么定义病毒的行为的

即使出现AI化的杀毒软件，病毒还是可以绕过定义

不过应该比特征码这样的好一点

要记住人是活的
相对码是活的
但病毒的利用形式是死的
比如针对漏洞、传播形式、感染方法等等

现在主要是觉得这些杀毒软件厂商的太不负责，很多时候特征码可以提取的更好一点，病毒的变种就可以预防的（前提是使用同一个漏洞的病毒）。就像我上面提到的，信息系统的安全很大程度上在于信息的保密性。可以负责任的说，微软，诺顿等软件商与美国国家安全局有联系，并且微软这么多漏洞也并不一定就是无心之失。

hoho，楼上言语暗藏玄机，慢慢思索慢慢思索

呵呵
其实微软的漏洞
早听内部人士言语
其实大有己为之处

说说服务上
我曾经两次给国内外几家杀毒软件投递病毒样本 以测试服务如何
第一次 已经测试国内的都不能查杀
投了Rising Kingsoft Kv3000 Kaspersky
回复情况如下
Rising：很长时间才回复 估计有半个月了 然后接到一封信 说检查过我投的病毒 新版本已经可以杀
Kingsoft：没回复
Kv3000：也没回复
Kaspersky：回复比较快 但是似乎没看懂

第二次 也就是我最近分析那个qq传文件病毒 我使用Rising的专杀工具杀不了 金山没测试 KV公司我用了最新的在线查毒查不到 Kaspersky也查不到 于是E给了以上几个公司
Rising：回复很快 2工作日不到接到信 说检查过我投的病毒 新版本已经可以杀
Kingsoft：回复很快 2工作日不到接到信 说检查过我投的病毒 新版本已经可以杀
Kv3000：目前没回复
Kaspersky：目前也没回复

刚才接到网民反馈...
金山公司声称可以杀后 目前仍无法查杀！
该用户是刚才升级的病毒库 看看吧 这就是咱们的杀毒软件