大蜘蛛扫描文件的问题

chensefengbao

看到病毒样本区有人用大蜘蛛扫描时都能显示病毒加什么样的壳    我现在也在用大蜘蛛   怎么就看不到这些信息呢？

chensefengbao

没人知道吗？

留侯

大蜘蛛SpIDer Guard实时监控会显示加壳的内容，是默认的，无法设置。
扫描的话，您需要设置。打开大蜘蛛扫描程序，点击选项——修改设置——日志文件，选中打包器方式和压缩方式即可：


设置完成之后，点击保存设置即可。

chensefengbao

留侯 发表于 2011-9-17 22:10
大蜘蛛SpIDer Guard实时监控会显示加壳的内容，是默认的，无法设置。
扫描的话，您需要设置。打开大蜘蛛扫 ...

谢谢你的回答       我发现一个问题 就是只有杀毒软件发现病毒时才会有日志   没有发现病毒时是没有日志的 可我看到  你有几次大蜘蛛认为是clean的时候仍然能显示壳的种类  这是怎么做到的？

留侯

需要注意的是：大蜘蛛扫描日志显示的是解包的方式，有些大蜘蛛能识别，有些则不能，但是可以使用大蜘蛛内置的FLY—CODE全能解包器解包。举个例子：
ACG.dll packed by FLY-CODE
ACG.dll packed by VMPROTECT

这个文件，采用了两种不同的打包方式，一种是VMPROTECT，另一种未知，但是大蜘蛛FLY—CODE全能解包器已经执行了解包，所以都会显示此类报告。

chensefengbao

比如这里  http://bbs.kafan.cn/thread-1084701-1-1.html   大蜘蛛检测是clean   但是你能写出壳的种类

留侯

chensefengbao 发表于 2011-9-17 22:16
谢谢你的回答       我发现一个问题 就是只有杀毒软件发现病毒时才会有日志   没有发现病毒时是没有日志的 ...

打包器和压缩文件选中的话，即可显示加壳和压缩格式。

假如您需要显示clean之类的话，您选中扫描对象，也就是3个全部选中即可。则会显示全部内容。

另外，我刚才的秒速有误，SpIDer Guard内也可以设置日志内容，点击任务栏大蜘蛛图标，选择SpIDer Guard——设置——日志，选择扩展日志和最大日志即可显示。不过由于这个会导致SpIDer Guard日志过于频繁而庞大，且会扫描压缩文件，导致日常运行缓慢，个人不建议修改，默认的最小日志即可。

chensefengbao

留侯 发表于 2011-9-17 22:22
打包器和压缩文件选中的话，即可显示加壳和压缩格式。

假如您需要显示clean之类的话，您选中扫描对象， ...

你的意思是  把能检测出的和clean的放在一起扫描？

留侯

chensefengbao 发表于 2011-9-17 22:23
你的意思是  把能检测出的和clean的放在一起扫描？

呃！这是大蜘蛛扫描程序的日志啊！
要是您想显示这些加壳、压缩格式的日志，这些都可以显示的。至于说这个样本是clean还是病毒，那是扫描的结果。

留侯

chensefengbao 发表于 2011-9-17 22:21
比如这里  http://bbs.kafan.cn/thread-1084701-1-1.html   大蜘蛛检测是clean   但是你能写出壳的种类

您说的这个，是我使用SpIDer Gate中的Dr.Web LinkChecker，也就是右键调用check by Dr.Web所显示的结果。

Dr.Web LinkChecker可以扫描网页内的任何一个文件，默认是会显示压缩格式和打包格式，假如是病毒，会显示红色（特征码）、紫色（启发式分析技术和Origins.Tracing技术做出的判断）；假如没有病毒，或者是大蜘蛛没有检测到，会显示绿色，表明clean。

以上的详细结果，可以在扫描程序内设置之后得到——也就是全部选择三个：扫描对象、打包器和压缩格式。

大蜘蛛的扫描判断，和加壳、压缩方式的结果是不同的，一个文件，采取了加壳和压缩方式，可能是病毒，也可能是正常文件。只不过它加了壳，或者是压缩了，一些反病毒软件无法识别壳，那么可能会产生误报。