heurhtml開發者回復我了

cp800614

我对这个启发的感想就是，作者在拼命收集一些可能造成威胁的东西，然后根据正则表达式之类的东西判断。

首先判断是什么类型的文件，如果是文本就用正则表达式匹配以下内容。
只要不该在网页里出现的，或是可能有危险的都报heur/html.exploit。

以上纯属个人看法，要扔砖头的尽管 。

不过那个作者某些话还是说的挺对的。体现红伞宁可错杀1000，不可放过一个的精神。
说实话我就看中这点，不过不喜欢现在这个HeruHtml。

[ 本帖最后由 cp800614 于 2007-8-21 10:04 编辑 ]

451102995

对于这个网页引擎....本人持观望态度......
PS:我用google翻译了一下你那个回复!!! .........实在是......特别是最后的署名!!

你好,羁縻

html源启发式侦测几个"反常" ,在html页.一
他们所感染的页面.有几种病毒样本,试图放入
在页面的具体位置在一个正常的页面导致恶意代码.

该恶意代码的url主办变化往往.世上没有好
方法检测感染页用这个url .

规则很重要,因为每天有成千上万的网页获得
感染.

检测是相当棘手的,并造成了一些误报.但他们
应固定.
上星期,我有没有假阳性,从非感染者和普通网站
页.

你的样品已被发现的,因为我们实在没有理由为一个iframe
夹在中间的任何一个内容页导致任何结果.

谢谢!

索尔斯泰恩生病

[ 本帖最后由 451102995 于 2007-8-21 11:14 编辑 ]

jimmyleo

索尔斯泰恩生病

[:27:] google的翻译太无敌了

cp800614

大部分翻译软件都这么翻译。
不止Google

jimmyleo

Google我用作非英语翻译……

woai_jolin

虽然承认了 但还是在为自己极力辩解

The EQs

你继续研究AVIRA会有很多发现的。。。至少AVIRA的不少报法偶是研究透了。。。

jimmyleo

说说……不要老是卖关子

cp800614

同lS。
如果EQ2兄怕引起水仗，扰乱卡饭秩序，不如开博吧。

jimmyleo

技术上的讨论是欢迎的 如果只是凭空想象么 就算了