★★☆→简析【金山毒霸2012】免杀的难度【欢迎指点】

xzhlksh

悟心之道 发表于 2011-8-17 17:52
如果是小众才有的样本，可能属于纯试验性质，并不一定受山山重视啊。

不是样本，是实际下载站的东西

jefffire

悟心之道 发表于 2011-8-17 17:40
不管什么安全软件，也不能对付全部病毒，如果在卡饭样本区都找不到能过部分防御手段的山山，山山就不是地 ...

连卡饭这种一天样本数不超过500的情况，都有接二连三的过云鉴定。如果是大数量样本，真难以想象。
金山区以前的图上一直挂着100%鉴别黑白文件，真是讽刺。

怎么样了

悟心之道 发表于 2011-8-17 18:06
这个需要的不是勇气，是有无些兴趣，包括文章提到的论坛所讨论的也不过是过微特征，这个过还只是变成微特 ...

你谈的是免杀,  去免杀论坛也发表一下你的观点并与他人交流最合适不过了.    不是吗 ? ?

卡饭会做免杀的不多,  会做的也不喜来此地 , 比如那个蓝猫大侠, 差不多半年才来此一回

你有兴趣在这儿发帖与多数听不懂的人交流 ,  为何不在专业免杀论坛也发一帖岂不是更能提升能力.

悟心之道

xzhlksh 发表于 2011-8-17 18:10
不是样本，是实际下载站的东西

下载站的东东，经常会是有用的包包中含毒，我前几天在99单机游戏网下载的游戏就是例子，如果确实核心部分想用，建议一是看看网友评论，二是下载完成后扫描，三是重视安装过程中安全软件提示，四是安装完成后扫描，五是如果因为删除除风险文件不能正常运行，云鉴定风险文件，六是高风险提示程序虚拟环境事先运行（虚拟机，SB都可以）分析判断下。
个人也算长期下载试验非法来源程序的用户了，貌似出问题的时间不多

新新小仔001

jefffire 发表于 2011-8-17 18:14
连卡饭这种一天样本数不超过500的情况，都有接二连三的过云鉴定。如果是大数量样本，真难以想象。
金山 ...

现在云鉴定改了你不知道 有时候运行后k+会拦截已知病毒

jefffire

新新小仔001 发表于 2011-8-17 18:23
现在云鉴定改了你不知道 有时候运行后k+会拦截已知病毒

K+拦截已知病毒和以前没有区别，运行特征监控而已，K+最大改进是鉴定为安全的样本，不再默认放行了。

悟心之道

jefffire 发表于 2011-8-17 18:14
连卡饭这种一天样本数不超过500的情况，都有接二连三的过云鉴定。如果是大数量样本，真难以想象。
金山 ...

原始的HIPS报告程序行为，能起到防毒危害的作用，并不能杀毒，一某安软还不照样说100%，想想都不好意思。
我也不相信任何安软的100%解决方案，安全软件在进步，免杀、制毒照样进步，“战争是科技进步的动力”，反毒与制毒的关系也是如此。

新新小仔001

jefffire 发表于 2011-8-17 18:24
K+拦截已知病毒和以前没有区别，运行特征监控而已，K+最大改进是鉴定为安全的样本，不再默认放行了。

不一样 有时候你云鉴定没有病毒 可是k+拦截了 并且病毒名已经入库

jefffire

新新小仔001 发表于 2011-8-17 18:27
不一样 有时候你云鉴定没有病毒 可是k+拦截了 并且病毒名已经入库

有个本地启发。

jefffire

悟心之道 发表于 2011-8-17 18:27
原始的HIPS报告程序行为，能起到防毒危害的作用，并不能杀毒，一某安软还不照样说100%，想想都不好意思 ...

都是废话。