相信很多人一定都用過VirusTotal這個線上掃瞄工具
如果沒用過,也或多或少會在分享論壇看到有人引用VT的掃瞄結果
今天我們要來討論一下VT這種線上掃瞄服務究竟如何幫助使用者分辨病毒
當我們丟一個檔案到VT上後,會經過40家公司的引擎掃瞄
然後陸陸續續丟出掃瞄後的結果,然後VT會再丟個偵測率結果出來
大部分人很少會去質疑VT的結果,並認為如果被報的數量相當可觀
大概十之八九絕對不會是什麼好東西!
但是大部分人從來沒有想過以下問題,如果40家引擎都沒有報
難道就代表樣本百分之百絕對不會對系統造成傷害嗎?
反之,如果很多家公司的引擎報,就代表一定存在威脅?
有用過防毒軟體的人或多或少應該知道,防毒軟體有細部的選項作為設定
問題是大部分人均不知道也沒有想過VT上的引擎究竟是如何設定!
針對這些問題,可以分好幾個部分討論
首先VT上的引擎均來自各家不同的公司
這些公司的技術程度均不同,緝毒引擎有好有壞
每家公司對威脅的策略也都不盡相同
基本上各個引擎之間量級已經明顯不一樣了
放在一起掃瞄然後作偵測率百分比
已經很明顯存在一個誤導的空間在!
再來引擎的設定問題,VT上的引擎通常都與我們使用的版本會不太一樣
例如Kaspersky直接開啟偵測no-virus等的風險軟體
而Panda直接開啟最高啟發,最高啟發在個人版是不啟用的
時間久了,有人就開始以為Kaspersky跟Panda都有很高的誤報
由於每家公司對威脅的策略都不同,像有些引擎是直接見殼就報
有些則表現比較成重穩定,例如AntiVir、Avast、BitDefender、CAT-QuickHeal、F-Prot
這些都是比較喜歡報殼的AV,而像Kaspersky、McAfee、NOD32、Panda、Symantec
相形之下這些都是比較保守的AV,它們不會無故報殼,品質與技術上均具有一定的實力!
今天收到朋友的求救,說他好像中毒
隨既傳來了一個樣本,希望我幫他分析一下
這個樣本看名稱應該是一個"續號產生器"
執行後確實是一個"續號產生器",接下來我就開始分析了他的行為
不分析還好,一分析怪我就開始疑惑了..
因為這樣本並沒有危險行為,或者其它特殊行為會觸發HIPS
我根據這樣本破解的對象,上網找了這個軟體測試
用它產生的續號也確實能夠使用!
所以我直接排除了樣本是病毒的可能
我把這個結果告訴我朋友後,他仍然堅持這樣本事病毒
沒多久後他就傳了VT的掃瞄結果給我
我告訴他,VT的結果不能盡信,並把箇中原由告訴了他
他才曉得他長時間依賴的VT原來是這麼一回事!
我自己平常不用VT,我也建議沒能力自己分析樣本的網友
對於可疑的樣本應該交由專門的公司分析,而不是一股腦的全都往VT上丟 (繼續閱讀...)
