F-Secure的表现真让人失望

jhtl

样本区基本都是加X,加Y,加Z的病毒。。。没什么代表性。

[ 本帖最后由 jhtl 于 2007-8-31 22:24 编辑 ]

tracydk

有啊,就是那个系统控制

andyangela

这也就说明了卡吧在样本区一样的不行，呵呵，因为f用的是卡吧的库。除了那种误报超级厉害的，样本区表现一般都不怎么样

david_sg

首先，你必须了解什么是anti-antivirus technology.
现在流行的anti-antivirus technology
1，code定位,可以通过工具，比如CCL来找出防病毒软件的特征码定位然后修改那部分code(这种免杀是比较有技术含量的)。
2，16进制数值+1(用在特定的地方)
3，JMP。
4，改EOP。
5，加junk instruction和obfuscating code。
6，code替换。
7，加密
8，加壳
9，code顺序调换。
等等等等

在卡饭的样本区里绝大部分病毒都是通过加密，加壳和改EOP进行免杀的，修改特征码的免杀非常少。这些“新“病毒的本质跟原样本没有大的区别，能骗骗防病毒软件的扫描，病毒运行以后不一定过得了防病毒软件的监控，更何况F-Secure还有HIPS。F-Secure的HIPS规则是F-Secure帮用户更新的，虽然有些limitations，但还是非常非常有用。

通过一个论坛里的少量的样本来判断防病毒软件的好坏是完全不可取的行为。

[ 本帖最后由 david_sg 于 2007-8-31 14:45 编辑 ]

benjaminyu

david_sg不愧是高手，听他的评论总是能长知识！

aa11qq26

原帖由 david_sg 于 2007-8-31 09:08 发表
首先，你必须了解什么是anti-antivirus technology.
现在流行的anti-antivirus technology
1，code定位,可以通过工具，比如CCL来找出防病毒软件的特征码定位然后修改那部分code(这种免杀是比较有技术含量的)。
2， ...

说得比较实在

szmsys

明白了一点，谢谢大家的教导。

gaokeyi

光看样本区查杀率没有用，毕竟只是片面的东西，关键是整体防护和运行

tracydk

也能说明一定的问题的

jhtl

能说明哪个报壳能力强 呵呵
样本区就是壳王的天下