诺顿双击测试（4.23测试，见196楼）

消停

ostar843 发表于 2012-3-26 20:47
支持用2012测试  杀不掉的样本都上报吗

当然

ostar843

消停 发表于 2012-3-26 20:59
当然

感谢乃的义务劳动 为铁壳的壮大添砖加瓦

jefffire

爬了一下L，感觉2012进步还是很明显

jefffire

去看了看最近扫描区的成绩，红伞和ESET经常80+～90+，MSE也稳稳及格，看来我需要找个机会出手，秒杀全场了。

消停

jefffire 发表于 2012-3-26 22:55
去看了看最近扫描区的成绩，红伞和ESET经常80+～90+，MSE也稳稳及格，看来我需要找个机会出手，秒杀全场了。 ...

如果加上双击的话，应该能秒！

wjcharles

消停 发表于 2012-3-27 08:04
如果加上双击的话，应该能秒！

要加上下载分析还差不多，单靠双击，由于行为检测的的局限性，对于因各种原因不能完全成功运行的样本很难界定黑白，需要双击的样本一多就麻烦了，比如遇到双击后程序无行为或者自动退出，sonar不报这种

尘梦幽然

wjcharles 发表于 2012-3-26 19:17
图中NIS的墙是可以监测单个dll联网的，而不是加载dll的程序，这样如果白文件加载了恶意dll，在dll外联时 ...

主要是他们认为这种东西根本不是病毒，你让他们和BD怎么重视？！太可怕了！

wjcharles

5234377 发表于 2012-3-27 12:01
主要是他们认为这种东西根本不是病毒，你让他们和BD怎么重视？！太可怕了！

行为这么明显摆在这里，他们认为不是毒不正说明他们的不重视吗？
BD我记得周绅有次被连续几次判白，后来他详细描述了木马运行的所需环境，BD就入库了
BD不清楚，而NIS毫无疑问早就正式进入国内市场了，对qq盗号这种不能以没有运行环境为借口；如果说网页上报只能单文件分析，那在官方论坛我都已经详细说明了

其实也很好理解铁壳，发展大陆norton用户主要应该是出于全球化布局的考虑，而不是为了在国内实现个人版的盈利。这跟趋势在国内的情况有点类似，在他们的老家日本和美国市场才是个人版利润的主要贡献者，才格外重视。。。毕竟此类白加黑样本占的比例太少，优先处理感染面更广的病毒也无可厚非

消停

wjcharles 发表于 2012-3-27 13:04
行为这么明显摆在这里，他们认为不是毒不正说明他们的不重视吗？
BD我记得周绅有次被连续几次判白，后来 ...

啥时候在美国也流行了他们才会重视！我每次上报也都会把行为写上！也没见啥用！

wjcharles

消停 发表于 2012-3-27 13:11
啥时候在美国也流行了他们才会重视！我每次上报也都会把行为写上！也没见啥用！

美国流行的0access，也是白加黑，十几个启发特征针对病毒不同组件，sonar也杀，ips有专门的特征，好像还有类似趋势的网页监测，相比国内的病毒绝对是五星级待遇啊