【本地查杀至上论】未来杀毒软件的发展方向

显示全部楼层 · 发表于 2012-8-10 21:06:34

君不见推崇云的金山也加入了小红伞~~

LZ分析得非常对~

显示全部楼层 · 发表于 2012-8-10 21:07:50

本帖最后由 XMonster 于 2012-8-10 21:17 编辑

查杀至上? 不觉得至少特征码永远跟在病毒屁股后面.

显示全部楼层 · 发表于 2012-8-10 21:14:33

LZ威武我也是本地至上论的成员...

显示全部楼层 · 发表于 2012-8-10 21:46:29

"……把木马分成各个函数，插在其它程序的中。……“

请楼主科普一下怎么才能把木马分成函数然后查到其他程序中？

显示全部楼层 · 发表于 2012-8-10 22:08:27

Humhook 发表于 2012-8-10 21:46
"……把木马分成各个函数，插在其它程序的中。……“

请楼主科普一下怎么才能把木马分成函数然后查到 ...

假如一个木马入口处为函数trojan_main()，另外有函数f1() f2()............
之后，在另外一个程序中，编写时留下分散的不连续的内存空间，到特定时间，调用trojan_main()，或者直接建立一个运行它的线程。
更绝一点，可以不以函数为单位：

复制代码

显示全部楼层 · 发表于 2012-8-10 22:12:24

XMonster 发表于 2012-8-10 21:07
查杀至上? 不觉得至少特征码永远跟在病毒屁股后面.

特征码只是本地查杀的一种方式

显示全部楼层 · 发表于 2012-8-10 22:14:18

白日余晖发表于 2012-8-10 22:12
特征码只是本地查杀的一种方式

个人比较看好主动防御,高启发等手段,以少量特征码辅助.

显示全部楼层 · 发表于 2012-8-10 22:16:30

XMonster 发表于 2012-8-10 22:14
个人比较看好主动防御,高启发等手段,以少量特征码辅助.

终极方案应该是虚拟机吧……

显示全部楼层 · 发表于 2012-8-10 22:23:37

白日余晖发表于 2012-8-10 22:08
假如一个木马入口处为函数trojan_main()，另外有函数f1() f2()............
之后，在另外一个程序中，编 ...

应该是倒过来的表术吧，把其它无意义的插入到恶意实体中。。。。。。。。。。。。增加恶意实体的体积增加云上传分析的成本，，，增加混稀代码的逻辑性，，，，以此达到：谁来分析我，我就拖死谁的目地

显示全部楼层 · 发表于 2012-8-10 22:30:23

白日余晖发表于 2012-8-10 22:08
假如一个木马入口处为函数trojan_main()，另外有函数f1() f2()............
之后，在另外一个程序中，编 ...

搜噶…… 学习了

[讨论] 【本地查杀至上论】未来杀毒软件的发展方向