惊讶!瑞星扫描病毒时对PE文件没有进行有效性检测

显示全部楼层 · 发表于 2011-8-30 11:32:37

evilrabbit 发表于 2011-8-30 11:32
他想鞭尸就继续鞭尸吧。要用星星的话，只用木马防御和内核加固。

鞭鞭更健康

显示全部楼层 · 发表于 2011-8-30 11:33:58

星空下的吻发表于 2011-8-30 10:41
很不幸,大多数杀毒软件都没有这个环节,真悲剧.

MJ说的是对的，如果检测有效性会给病毒留下可利用空间
况且虽然不能运行，但的确存在恶意代码

显示全部楼层 · 发表于 2011-8-30 11:37:32

WINXP X86下如此弹窗，的确有一种可能不是EXE

但也不排除：

1、X64程序

2、修改PE头强制不允许在XP下运行的程序（EX. IE9 X86安装程序）

3、。。。。。。

显示全部楼层 · 发表于 2011-8-30 11:39:13

ikimi 发表于 2011-8-30 11:37
WINXP X86下如此弹窗，的确有一种可能不是EXE

但也不排除：

样本肯定不是这几种特殊情况

显示全部楼层 · 发表于 2011-8-30 11:39:42

zuo 发表于 2011-8-30 11:33
MJ说的是对的，如果检测有效性会给病毒留下可利用空间
况且虽然不能运行，但的确存在恶意代码

无论怎么说,无效样本报毒绝对是欠妥的

显示全部楼层 · 发表于 2011-8-30 11:58:59

360也报毒了，国产的貌似都是这样。只会迎合大众，从来不会仔细分析。。

微软自己的杀软没有报警。。。

显示全部楼层 · 发表于 2011-8-30 12:26:16

jone_jys 发表于 2011-8-30 11:58
360也报毒了，国产的貌似都是这样。只会迎合大众，从来不会仔细分析。。

微软自己的杀软没有报警。。。

一堆国外知名杀软同样对E误报严重

同样没有校验PE有效性

显示全部楼层 · 发表于 2011-8-30 15:32:36

看看什么情况
师傅牛啊最近在折腾啥

显示全部楼层 · 发表于 2011-8-30 15:57:38

黑猫、警长发表于 2011-8-30 15:32
看看什么情况
师傅牛啊最近在折腾啥

从不折腾

显示全部楼层 · 发表于 2011-8-30 18:27:30

病毒代码里有bug或者其他原因导致文件损坏的，原因各种各样，不好判断。个人感觉只要PE文件里面有恶意代码，就可以认定为病毒了

如果判断了，而没有判断全，病毒作者就有了躲避的空间

以上是麦青儿的回复

[瑞星] 惊讶!瑞星扫描病毒时对PE文件没有进行有效性检测