查看: 7616|回复: 33
收起左侧

[讨论] ESET 检测方法对应的报毒方式

  [复制链接]
hx1997
发表于 2012-7-7 19:20:14 | 显示全部楼层 |阅读模式
本帖最后由 hx1997 于 2012-7-7 19:23 编辑

有人懂有人不懂我就来说下吧。

ESET 产品对恶意软件的检测方法大概分为下面几种:
1. 病毒库/特征码 (Signatures)
2. 启发式扫描 (Heuristics)
3. 高级启发式扫描 (Advanced Heuristics)
4. 基因/广谱/智能特征码 (DNA/Smart Signatures)

那么,这些检测方法报出来的病毒名是怎样的?或者一个病毒名,到底是由哪种检测方法检测出来的?

分类讨论:

注:后缀不一定都是 特洛伊木马 或 病毒,根据恶意软件种类不同而不同。

1. 病毒库/特征码 (Signatures)

xxx 特洛伊木马 / xxx trojan
6D9A909769D0189372029BC111A7EA42 - Win32/Spy.Zbot.AAN 特洛伊木马


2. 启发式扫描 (Heuristics)

未查明的 [STEALTH/POLY/CRYPT/TUNELL/TSR/COM/EXE/SYS/WINDOWS/WIN95/COMPANION/DRIVER/BOOT/MACRO] 病毒 / probably unknown [STEALTH/POLY/CRYPT/TUNELL/TSR/COM/EXE/SYS/WINDOWS/WIN95/COMPANION/DRIVER/BOOT/MACRO] virus
$I1JK0VH.exe - 未查明的 POLY.CRYPT.COM 病毒


注:也有一小部分 xxx 病毒 的变种 这种报法是由启发式扫描检测的,需要查看日志才能确定。

3. 高级启发式扫描 (Advanced Heuristics)

未查明的 [WIN32/NewHeur_PE] 病毒 / probably unknown [WIN32/NewHeur_PE] virus
42DD4BD915E6C5B87E7A9924322EDE8A - 未查明的 NewHeur_PE 病毒


4. 基因/广谱/智能特征码 (DNA/Smart Signatures)

(可能是) xxx 特洛伊木马 的变种 / (probably) a variant of xxx trojan
9E7CA02C14C02A53796B36ECC1518957 - Win32/Injector.NFF 特洛伊木马 的变种
140D65152A3C2D314FC3642B1FD9B2DA - 可能是 Win32/Agent.ECFFGIC 特洛伊木马 的变种

评分

参与人数 6经验 +10 人气 +5 收起 理由
迷惘的执著 + 1 刚刚的疑问解决了
吾与谁归 + 1 4个技术了,哈
蝉鸣时 + 5 + 1 感谢分享。
lbb9432 + 1 学习了
angol + 5 感谢解答: )

查看全部评分

哀酱俏佳人
发表于 2012-7-7 19:29:44 | 显示全部楼层
我想知道4系列和5以上的有没有不同?
wwdboy
发表于 2012-7-7 19:33:31 | 显示全部楼层
学习了
hx1997
 楼主| 发表于 2012-7-7 19:39:27 | 显示全部楼层
哀酱俏佳人 发表于 2012-7-7 19:29
我想知道4系列和5以上的有没有不同?


如果你说的是报毒方式,没有改变。

只是在扫描参数里,从 5.0 开始,不允许关闭 普通特征码(病毒库) 扫描,还把 高级启发式扫描 扩充成了 高级启发式扫描/DNA/智能签名。
哀酱俏佳人
发表于 2012-7-7 20:23:02 | 显示全部楼层
hx1997 发表于 2012-7-7 19:39
如果你说的是报毒方式,没有改变。

只是在扫描参数里,从 5.0 开始,不允许关闭 普通特征码(病毒库 ...

原来如此,我记得以前3系列的时候EAV和ESS的扫描参数是不一样的,具体什么不记得了,但那时是EAV机制更好,不知现在如何,4.2有云了吗?
maomao110
发表于 2012-7-7 21:14:12 | 显示全部楼层
这个帖子很不错   
88865ff
发表于 2012-7-7 21:22:45 | 显示全部楼层
不错 NOD的技术还是非常深厚的!
iyinyt
发表于 2012-7-7 21:54:16 | 显示全部楼层
本帖最后由 iyinyt 于 2012-7-7 21:56 编辑
hx1997 发表于 2012-7-7 19:39
如果你说的是报毒方式,没有改变。

只是在扫描参数里,从 5.0 开始,不允许关闭 普通特征码(病毒库 ...


那是不是说5.X要比4.2在相同条件下查杀要好呢?我一直很纠结这个问题,因为4.2没有HIPS可以搭配一下,5.X有HIPS选择余地就小多了。但又怕选4.2查杀不如5.X。希望大大解答下
waik3ung
发表于 2012-7-7 23:23:05 | 显示全部楼层
学习啦~!
hx1997
 楼主| 发表于 2012-7-8 00:33:29 | 显示全部楼层
哀酱俏佳人 发表于 2012-7-7 20:23
原来如此,我记得以前3系列的时候EAV和ESS的扫描参数是不一样的,具体什么不记得了,但那时是EAV机 ...

TAT 晚上各种事。

我是从 4.2 开始用的,之前的版本我就不清楚了。云信誉是 5.0 加入的,不过 5.0 以前 ESET 就有 ThreatSense.Net,是一个给 ESET 上报样本或 ESET 主动收集样本的渠道。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 02:31 , Processed in 0.137421 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表