对PE有效性没有进行检测,竟成安全软件的通病!

显示全部楼层 · 发表于 2011-8-30 16:41:46

说实话，现在凡是涉及修改系统引导信息的工具，都容易被当初木马。
像pe这种会修改U盘引导信息的就更容易被报毒

难怪，制作启动pe都要关掉杀软了。

不过，改正这个毛病，光靠特征码实现起来有点困难

显示全部楼层 · 发表于 2011-8-30 16:49:00

请多指教发表于 2011-8-30 16:41
说实话，现在凡是涉及修改系统引导信息的工具，都容易被当初木马。
像pe这种会修改U盘引导信息的就更容易被 ...

这里的pe指的是pe文件，可执行文件

不是pe系统

显示全部楼层 · 发表于 2011-8-30 16:53:42

z13667152750 发表于 2011-8-30 16:49
这里的pe指的是pe文件，可执行文件

不是pe系统

原来如此，不好意思
难怪看了几遍都看不懂

Portable Execute，简称pe
又懂一点东西了

显示全部楼层 · 发表于 2011-8-30 20:17:51

z13667152750 发表于 2011-8-30 12:16
其实不看PE也很好理解的

如果是死的，鞭下尸也不会造成危害，但是如果因为判断PE逻辑出现漏洞，出现漏报 ...

同意~鞭下尸也不会造成什么危害~更是垃圾~只要不会增加误报~就没有关系~

显示全部楼层 · 发表于 2011-8-30 20:34:22

如果不是QVM有大量误报没下完的半截文件的问题的话，我是倾向于报坏文件的，当然QVM内置一个接近于windows loader的损坏判断逻辑，部分损坏的文件会报DAMAGED,但是感觉不爽

显示全部楼层 · 发表于 2011-8-30 20:35:50

Tron 发表于 2011-8-30 11:45
真要仔细研究，没有几家判断完美的，windows的loader实现得比较诡异，很多文档上说那样就不行得，他就是 ...

实用角度讲，报坏感觉其实还是好些，也没啥损失的，呵呵

显示全部楼层 · 发表于 2011-8-30 21:02:16

zdolo 发表于 2011-8-30 20:34
如果不是QVM有大量误报没下完的半截文件的问题的话，我是倾向于报坏文件的，当然QVM内置一个接近于windows ...

那为什么不直接提示文件损坏?

显示全部楼层 · 发表于 2011-8-30 21:04:22

本帖最后由 z13667152750 于 2011-8-30 21:05 编辑

lll714775117 发表于 2011-8-30 21:02
那为什么不直接提示文件损坏?

如果直接所有的损坏PE都报的话，误报又会不好控制

MJ也提到了，判断pe还没有真正完善的算法

显示全部楼层 · 发表于 2011-8-30 21:05:37

z13667152750 发表于 2011-8-30 21:04
如果直接所有的损坏PE都报的话，误报又会不好控制

那有什么出现BUG时的对抗方案吗

显示全部楼层 · 发表于 2011-8-30 21:05:41

受教了

[讨论] 对PE有效性没有进行检测,竟成安全软件的通病!