onHacks

扫毒软件能够检测殭尸网络吗？Stuart Staniford 告诉我们是不到60% 。我想这对我们大多数人来说，是一个“不”。好惊讶？其实不是的。如果你在这个行头有点认识，这是旧新闻了。而我，只是一位爱好者。

Stuart 用 VirusTotal 和 FireEye 的调查结果作为一个恶意软件的来源。究竟有几准确？Stuart 承认，数据的准确性有一点误差，而我也算是外行人，并不能够说 VirusTotal 有多准确。试图推断一下，如果任何人都可以提交一份样本去 VirusTotal ，有可能有相当数量的样本，根本就从来没有接触甚至少数的人，或有些人写自己了出来提交上去，但没有流放于外。而 FireEye 的恶意软件来源，我会假设它是由实际环境中收集，并有一定的可信性，但我不知道他们的客户是甚麽人。这是我的想法对他的调查结果的想法。所以，我认为只有 一部分是涉及我们大多数所关心的。所以，可能不至于60%的差。

看了调查后，当然对行情又多了点认识。我不相信单单的 Signature Matching（这还不是每个字节的matching！），但我认为扫毒软件仍然能确定检测一些流行的恶意软件，尤以那些经常滋扰普通用户的人。对于一些新的检测，特别是“讨厌的万恶之源”的 rootkit ，有 Tim Fraser 的新研究。不过，如果你要求完美的检测，是没有办法做到的。