【看360扫描报告】非原本文件是否等于木马？求鉴定~

天下无雪

自己有把握信任即可，貌似没什么好说的，用hookqq又不是一天两天了

时光鸟

笙儿 发表于 2011-7-7 08:47
to楼主：
    根据楼主的测试来看，该文件的MD5值已经有了变化，与正常的MD5值略有不同。这是其一；其二， ...

对版主的解释我有几点看法：
1）对原程序进行了修改的文件采用MD5验证本身我觉得是有缺陷的（没有配合特征码验证），可以报“未知”或“可能含有木马”等可能对用户产生的影响说清楚就行了，这些提醒都是可以接受，但是感觉360报木马都不解恨，还要报恶意木马，这显然不是一个优秀的安全软件的做法，当然官方可以解释为是在为用户安全着想，但我个人觉得这是一种不负责任或没有技术能力的体现，仅凭MD5不符而没有特征码配合验证的情况下就报恶意木马就显然太武断。
2）为何360快速扫描和自定义扫描，扫描了同一个文件，结果却相差这么大？（请注意两种方式都提示四引擎扫描）。
3）当然，我可以添加信任这是显然的。但是我们讨论的是360的安全逻辑。我觉得一个安软好坏的一个重要指标之一就是取决于它对用户依赖的多少以及提示报告信息的精准性。
4）非黑即白的逻辑若可解释为为用户安全重想的话，那杀软就太好做了。

盐偶

非原文件不等于木马。。我的explorer。exe被我替换多少回了。。。。。

时光鸟

-oAo- 发表于 2011-7-7 10:05
源文件被修改一般杀软都报毒的

这不是一个优秀杀软的做法

-oAo-

时光鸟 发表于 2011-7-7 10:26
这不是一个优秀杀软的做法

单步主防或高启发的标准做法

时光鸟

-oAo- 发表于 2011-7-7 10:27
单步主防或高启发的标准做法

请报告未知或可能存在的危害，不要确信地报告为恶意木马（就连报告木马都感觉还不过瘾）

-oAo-

时光鸟 发表于 2011-7-7 10:29
请报告未知或可能存在的危害，不要确信地报告为恶意木马（就连报告木马都感觉还不过瘾）

只是这种行为和恶意木马行为类似，所以------

风葶云

经常性报我的迅雷

时光鸟

-oAo- 发表于 2011-7-7 10:30
只是这种行为和恶意木马行为类似，所以------

拿着刀≠杀人

一个好的警查我觉得是这样的：
你买刀我盯着你，你拿刀我盯着你，你拿刀向一个人走过去我还是盯着你，但是你对这个人举起了刀我就阻止你。

在买刀、拿刀或拿刀向一个人走过去的时候就阻止这个人说他有杀人意图，会被指神经病的！

ess的启发我认为是不错的，但是报告安全，上报后，在更新的数据库查杀时还是报告安全。

我认为不能简单地把这种做法全往单步主防或启发上推~

yujiakun

QQ文件被替换，这个比较危险啦