为何扫描报毒双击无反应

blue_仰望

http://bbs.kafan.cn/thread-1243160-1-1.html

今天无聊，去样本区转了转，这个样本，解压微点无法应，右键扫描报毒，重新解压，双击，QQ被结束，微点无任何反应，日志中，只有注册表修改项中提示修改了启动项，其他无任何记录。只是神马情况？
用ark看了下，也没有发现什么异常。

Howl

右键高启、实时监控中启、主防行为监控。这里面要考虑到微点的启发技术和监控机制
虚拟机启发：http://www.micropoint.com.cn/anti_virus/product_2.html#a2
虚拟机启发是主要针对加壳加花通过API虚拟机解壳解花分析似乎有害（包括解明文、调用关系检测），主防是在运行阶段是否有有害行为检测，两者相辅相成。

blue_仰望

Howl 发表于 2012-3-18 22:42
右键高启、实时监控中启、主防行为监控。这里面要考虑到微点的启发技术和监控机制
虚拟机启发：http://www ...

这点区别我知道，我的疑问就是，既然右键扫描报已知病毒，就说明已经入库了，既然入库了，那我双击为何没有反应呢？现在的问题是，在进程中可以看到病毒进程，QQ被结束了，添加了注册表启动项，但是没有其他异常。

Howl

lniwn 发表于 2012-3-18 22:45
这点区别我知道，我的疑问就是，既然右键扫描报已知病毒，就说明已经入库了，既然入库了，那我双击为何没 ...

拜托右键是启发

blue_仰望

Howl 发表于 2012-3-18 22:47
拜托右键是启发

你看看帖子的时间，而且前面已经有人扫描过，右键是启发，可是报的是已知病毒，并非未知样本。

Howl

lniwn 发表于 2012-3-18 22:49
你看看帖子的时间，而且前面已经有人扫描过，右键是启发，可是报的是已知病毒，并非未知样本。

第一微点没入库，查杀是靠启发。第二报的毒的名字是启发报毒名字，有空看看微点的启发报毒名字有哪些

blue_仰望

Howl 发表于 2012-3-18 22:47
拜托右键是启发

嗯，刚毕业，在实习，等实习期过了，转正了，再回来论坛。因为我解压没有报，就是说监控没有反应，但是右键扫描又报了，也就是说高启能识别。双击又没有反应，那就是说主防认为它并没有恶意行为，那高启报又是为什么？我双击看了下，就是QQ被结束，添加了启动项，其他无异常。那微点到底认为这个是白文件，或者是无恶意行为的灰文件？

Howl

lniwn 发表于 2012-3-18 22:59
嗯，刚毕业，在实习，等实习期过了，转正了，再回来论坛。因为我解压没有报，就是说监控没有反应，但是右 ...

有些病毒不是一运行就有全部的有害行为，人家也会玩潜伏

-oAo-

这个有点奇怪