畅所欲言：你认为MSE应该杀无法运行的病毒吗？

jefffire

wy1091727248 发表于 2011-8-31 22:43
那么对于不能运行的病毒的入库问题呢？姐夫觉得微软是否应该如8楼所说入库呢？

现在的杀毒都有判断PE有效性的逻辑程序。 只不过有些简单些，比如只看PE头部是否合法，有的复杂些，除了看头部外，还有其他一些判断。
对于简单的判定手段，比如判定PE头部的手段来说，这个方法能够确保凡是此方法判断为无效的文件必定不能运行，但是判定为有效的文件也可能不能运行。也就是PE头部的合法性是个必要非充分条件。
对于复杂的判定手段，能够进一步确认可以正常运行PE的范围，但是杀毒软件作者毕竟不是微软写Windows loader的，不清楚Windows loader中的所有奥妙，因此有可能导致，判定为无效的PE程序，实际却可以运行的漏洞

在杀毒的过程中判定是否为PE文件，以及PE的有效性，是个前置步骤，在特征码匹配以及启发分析之前执行。因此对一款特定的杀毒软件来说，如果要杀已经被本程序判定为损坏的样本，则必须修改程序逻辑，不是入库这么简单的。否则即便入库，也杀不出来。

sxd

弱弱的问下...
那么...微软自家的MSE对PE文件的有效性判断是不是会准确点?

飞霜流华

sxd 发表于 2011-9-1 20:15
弱弱的问下...
那么...微软自家的MSE对PE文件的有效性判断是不是会准确点?

个人猜测，依托于windows源代码的情况下，应该会准确些，参看20楼：
杀毒软件作者毕竟不是微软写Windows loader的，不清楚Windows loader中的所有奥妙，因此有可能导致，判定为无效的PE程序，实际却可以运行的漏洞
MSE的作者虽然也不是微软写Windows loader的，但源代码应该还是有的~
不过很可惜，这次的测试也报了两个，成绩也不是很理想~

sxd

wy1091727248 发表于 2011-9-1 20:19
个人猜测，依托于windows源代码的情况下，应该会准确些，参看20楼：
杀毒软件作者毕竟不是微软写Windows ...

谢谢大大
总之支持MSE了...