ESET 检测方法对应的报毒方式

hx1997

有人懂有人不懂我就来说下吧。

ESET 产品对恶意软件的检测方法大概分为下面几种：
1. 病毒库/特征码 (Signatures)
2. 启发式扫描 (Heuristics)
3. 高级启发式扫描 (Advanced Heuristics)
4. 基因/广谱/智能特征码 (DNA/Smart Signatures)

那么，这些检测方法报出来的病毒名是怎样的？或者一个病毒名，到底是由哪种检测方法检测出来的？

分类讨论：

注：后缀不一定都是 特洛伊木马 或 病毒，根据恶意软件种类不同而不同。

1. 病毒库/特征码 (Signatures)

xxx 特洛伊木马 / xxx trojan

6D9A909769D0189372029BC111A7EA42 - Win32/Spy.Zbot.AAN 特洛伊木马

2. 启发式扫描 (Heuristics)

未查明的 [STEALTH/POLY/CRYPT/TUNELL/TSR/COM/EXE/SYS/WINDOWS/WIN95/COMPANION/DRIVER/BOOT/MACRO] 病毒 / probably unknown [STEALTH/POLY/CRYPT/TUNELL/TSR/COM/EXE/SYS/WINDOWS/WIN95/COMPANION/DRIVER/BOOT/MACRO] virus

$I1JK0VH.exe - 未查明的 POLY.CRYPT.COM 病毒

注：也有一小部分 xxx 病毒 的变种 这种报法是由启发式扫描检测的，需要查看日志才能确定。

3. 高级启发式扫描 (Advanced Heuristics)

未查明的 [WIN32/NewHeur_PE] 病毒 / probably unknown [WIN32/NewHeur_PE] virus

42DD4BD915E6C5B87E7A9924322EDE8A - 未查明的 NewHeur_PE 病毒

4. 基因/广谱/智能特征码 (DNA/Smart Signatures)

（可能是） xxx 特洛伊木马 的变种 / (probably) a variant of xxx trojan

9E7CA02C14C02A53796B36ECC1518957 - Win32/Injector.NFF 特洛伊木马 的变种
140D65152A3C2D314FC3642B1FD9B2DA - 可能是 Win32/Agent.ECFFGIC 特洛伊木马 的变种

哀酱俏佳人

我想知道4系列和5以上的有没有不同？

wwdboy

学习了

hx1997

哀酱俏佳人 发表于 2012-7-7 19:29
我想知道4系列和5以上的有没有不同？

如果你说的是报毒方式，没有改变。

只是在扫描参数里，从 5.0 开始，不允许关闭 普通特征码（病毒库） 扫描，还把 高级启发式扫描 扩充成了 高级启发式扫描/DNA/智能签名。

哀酱俏佳人

hx1997 发表于 2012-7-7 19:39
如果你说的是报毒方式，没有改变。

只是在扫描参数里，从 5.0 开始，不允许关闭 普通特征码（病毒库 ...

原来如此，我记得以前3系列的时候EAV和ESS的扫描参数是不一样的，具体什么不记得了，但那时是EAV机制更好，不知现在如何，4.2有云了吗？

maomao110

这个帖子很不错   

88865ff

不错 NOD的技术还是非常深厚的！

iyinyt

hx1997 发表于 2012-7-7 19:39
如果你说的是报毒方式，没有改变。

只是在扫描参数里，从 5.0 开始，不允许关闭 普通特征码（病毒库 ...

那是不是说5.X要比4.2在相同条件下查杀要好呢？我一直很纠结这个问题，因为4.2没有HIPS可以搭配一下，5.X有HIPS选择余地就小多了。但又怕选4.2查杀不如5.X。希望大大解答下

waik3ung

学习啦~!

hx1997

哀酱俏佳人 发表于 2012-7-7 20:23
原来如此，我记得以前3系列的时候EAV和ESS的扫描参数是不一样的，具体什么不记得了，但那时是EAV机 ...

TAT 晚上各种事。

我是从 4.2 开始用的，之前的版本我就不清楚了。云信誉是 5.0 加入的，不过 5.0 以前 ESET 就有 ThreatSense.Net，是一个给 ESET 上报样本或 ESET 主动收集样本的渠道。