收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 360 关于红伞启发,有日志有真相
123456789下一页
返回列表 发新帖
楼主: z13667152750
 收起左侧

[讨论] 关于红伞启发,有日志有真相

  [复制链接]
萧逆水
发表于 2012-8-16 00:37:12 来自手机 | 显示全部楼层
本帖最后由 萧逆水 于 2012-8-16 00:42 编辑
hx1997 发表于 2012-8-16 00:35又一个拿样本质疑的,稍后上样本。360 区能发样本吗?
可以發到樣本區,然後在本區給樣本區鏈接。然後大家拿紅傘原版和數字OEM一掃便知數字有沒有。
回复

举报

hx1997
发表于 2012-8-16 00:46:12 | 显示全部楼层
http://bbs.kafan.cn/thread-1353734-1-1.html

发了  红伞报 HEUR/Crypted 的样本。

评分

参与人数 1人气 +1 收起 理由
XMonster + 1 纠结啥

查看全部评分

回复

举报

z13667152750
 楼主| 发表于 2012-8-16 00:47:30 | 显示全部楼层
hx1997 发表于 2012-8-16 00:34
你试试把红伞设置里的 AHeAD 启发式关闭,看看还会不会报 Gen,我也没试过。

http://www.avira.com/documents/p ... _antivirus_zhcn.pdf

小红伞官方使用手册,其中提到两种启发,一种直接称为“启发”,还有一种被称为 “高级启发式分析和检测(AHeAD )







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

萧逆水
发表于 2012-8-16 00:51:42 来自手机 | 显示全部楼层
本帖最后由 萧逆水 于 2012-8-16 00:56 编辑
hx1997 发表于 2012-8-16 00:46http://bbs.kafan.cn/thread-1353734-1-1.html发了 红伞报 HEUR/Crypted 的样本。
我電腦關了誰來用數字殺毒的OEM來掃下看看?不過看了看樓主和姐夫的發言,紅傘的啟發好像有兩種理解。。。
回复

举报

jefffire
头像被屏蔽
发表于 2012-8-16 00:53:04 | 显示全部楼层
hx1997 发表于 2012-8-16 00:46
http://bbs.kafan.cn/thread-1353734-1-1.html

发了  红伞报 HEUR/Crypted 的样本。

卫士的红伞没报
回复

举报

z13667152750
 楼主| 发表于 2012-8-16 00:56:42 | 显示全部楼层
hx1997 发表于 2012-8-16 00:46
http://bbs.kafan.cn/thread-1353734-1-1.html

发了  红伞报 HEUR/Crypted 的样本。

http://r.virscan.org/report/e1d671469de10e29f68bfaa428bd992f.html

这个网站的红伞没报...
回复

举报

22667999
发表于 2012-8-16 00:58:02 | 显示全部楼层
有什么好纠结的。360只要做到查杀和防御都不错,就行了,管它什么启发不启发的呢
回复

举报

hx1997
发表于 2012-8-16 00:59:02 | 显示全部楼层
z13667152750 发表于 2012-8-16 00:56
http://r.virscan.org/report/e1d671469de10e29f68bfaa428bd992f.html

这个网站的红伞没报...

你没看他的红伞更新日期吗?超老...
回复

举报

z13667152750
 楼主| 发表于 2012-8-16 01:07:33 | 显示全部楼层
hx1997 发表于 2012-8-16 00:59
你没看他的红伞更新日期吗?超老...

全默认设置下,小红伞免费版不报

Avira Free Antivirus
报告文件日期: 2012年8月16日  01:06

正在扫描 4109138 个病毒变种和恶意程序。

程序正以无限制的完整版的形式运行。
可以使用在线服务:

被许可人         : Avira AntiVir Personal - Free Antivirus
序列号          : 0000149996-ADJIE-0000001
平台           : Windows 7 x64
Windows 版本   : (Service Pack 1)  [6.1.7601]
启动模式         : 已正常启动
用户名          : XXX
计算机名称        : XXX-PC

版本信息:
BUILD.DAT    : 12.0.0.125           Bytes    2012/2/3 23:15:00
AVSCAN.EXE   : 12.1.0.20     492496 Bytes    2012/2/3 07:30:48
AVSCAN.DLL   : 12.1.0.18      28112 Bytes    2012/2/3 07:31:16
LUKE.DLL     : 12.1.0.19      68304 Bytes    2012/2/3 07:30:58
AVSCPLR.DLL  : 12.3.0.14      97032 Bytes   2012/8/15 17:01:05
AVREG.DLL    : 12.3.0.17     232200 Bytes   2012/8/15 17:01:05
VBASE000.VDF : 7.10.0.0    19875328 Bytes   2009/11/6 11:18:34
VBASE001.VDF : 7.11.0.0    13342208 Bytes  2010/12/14 16:34:26
VBASE002.VDF : 7.11.19.170 14374912 Bytes  2011/12/20 07:31:08
VBASE003.VDF : 7.11.21.238  4472832 Bytes    2012/2/1 17:00:58
VBASE004.VDF : 7.11.26.44   4329472 Bytes   2012/3/28 17:01:00
VBASE005.VDF : 7.11.34.116  4034048 Bytes   2012/6/29 17:01:01
VBASE006.VDF : 7.11.34.117     2048 Bytes   2012/6/29 17:01:01
VBASE007.VDF : 7.11.34.118     2048 Bytes   2012/6/29 17:01:01
VBASE008.VDF : 7.11.34.119     2048 Bytes   2012/6/29 17:01:01
VBASE009.VDF : 7.11.34.120     2048 Bytes   2012/6/29 17:01:01
VBASE010.VDF : 7.11.34.121     2048 Bytes   2012/6/29 17:01:01
VBASE011.VDF : 7.11.34.122     2048 Bytes   2012/6/29 17:01:01
VBASE012.VDF : 7.11.34.123     2048 Bytes   2012/6/29 17:01:01
VBASE013.VDF : 7.11.34.124     2048 Bytes   2012/6/29 17:01:01
VBASE014.VDF : 7.11.38.18   2554880 Bytes   2012/7/30 17:01:02
VBASE015.VDF : 7.11.38.70    556032 Bytes   2012/7/31 17:01:03
VBASE016.VDF : 7.11.38.143   171008 Bytes    2012/8/2 17:01:03
VBASE017.VDF : 7.11.38.221   178176 Bytes    2012/8/6 17:01:03
VBASE018.VDF : 7.11.39.37    168448 Bytes    2012/8/8 17:01:03
VBASE019.VDF : 7.11.39.89    131072 Bytes    2012/8/9 17:01:03
VBASE020.VDF : 7.11.39.145   142336 Bytes   2012/8/11 17:01:03
VBASE021.VDF : 7.11.39.207   165888 Bytes   2012/8/14 17:01:03
VBASE022.VDF : 7.11.39.208     2048 Bytes   2012/8/14 17:01:03
VBASE023.VDF : 7.11.39.209     2048 Bytes   2012/8/14 17:01:03
VBASE024.VDF : 7.11.39.210     2048 Bytes   2012/8/14 17:01:03
VBASE025.VDF : 7.11.39.211     2048 Bytes   2012/8/14 17:01:03
VBASE026.VDF : 7.11.39.212     2048 Bytes   2012/8/14 17:01:03
VBASE027.VDF : 7.11.39.213     2048 Bytes   2012/8/14 17:01:03
VBASE028.VDF : 7.11.39.214     2048 Bytes   2012/8/14 17:01:03
VBASE029.VDF : 7.11.39.215     2048 Bytes   2012/8/14 17:01:03
VBASE030.VDF : 7.11.39.216     2048 Bytes   2012/8/14 17:01:03
VBASE031.VDF : 7.11.39.236    57344 Bytes   2012/8/15 17:01:03
引擎版本         : 8.2.10.132
AEVDF.DLL    : 8.1.2.10      102772 Bytes   2012/8/15 17:01:05
AESCRIPT.DLL : 8.1.4.42      459129 Bytes   2012/8/15 17:01:05
AESCN.DLL    : 8.1.8.2       131444 Bytes   2012/8/15 17:01:05
AESBX.DLL    : 8.2.5.12      606578 Bytes   2012/8/15 17:01:05
AERDL.DLL    : 8.1.9.15      639348 Bytes   2012/1/20 16:33:44
AEPACK.DLL   : 8.3.0.24      811381 Bytes   2012/8/15 17:01:05
AEOFFICE.DLL : 8.1.2.42      201083 Bytes   2012/8/15 17:01:05
AEHEUR.DLL   : 8.1.4.86     5165429 Bytes   2012/8/15 17:01:04
AEHELP.DLL   : 8.1.23.2      258422 Bytes   2012/8/15 17:01:03
AEGEN.DLL    : 8.1.5.34      434548 Bytes   2012/8/15 17:01:03
AEEXP.DLL    : 8.1.0.74       86387 Bytes   2012/8/15 17:01:05
AEEMU.DLL    : 8.1.3.2       393587 Bytes   2012/8/15 17:01:03
AECORE.DLL   : 8.1.27.4      201078 Bytes   2012/8/15 17:01:03
AEBB.DLL     : 8.1.1.0        53618 Bytes   2012/1/20 16:33:40
AVWINLL.DLL  : 12.1.0.17      27344 Bytes    2012/2/3 07:30:50
AVPREF.DLL   : 12.1.0.17      51920 Bytes    2012/2/3 07:30:48
AVREP.DLL    : 12.3.0.15     179208 Bytes   2012/8/15 17:01:05
AVARKT.DLL   : 12.1.0.23     208848 Bytes    2012/2/3 07:30:44
AVEVTLOG.DLL : 12.1.0.17     169168 Bytes    2012/2/3 07:30:46
SQLITE3.DLL  : 3.7.0.0       398288 Bytes    2012/2/3 07:31:02
AVSMTP.DLL   : 12.1.0.17      62928 Bytes    2012/2/3 07:30:50
NETNT.DLL    : 12.1.0.17      17104 Bytes    2012/2/3 07:30:58
RCIMAGE.DLL  : 12.1.0.13    4449488 Bytes   2012/1/20 16:34:46
RCTEXT.DLL   : 12.1.1.16      91600 Bytes    2012/2/3 07:31:16

扫描的配置设置:
作业名称.............: ShlExt
配置文件.............: C:\Users\XXX\AppData\Local\Temp\6b5a0b5b.avp
日志记录.............: 默认
主操作..............: 交互式
辅助操作.............: 忽略
扫描主启动扇区..........: 打开
扫描启动扇区...........: 打开
启动扇区.............: C:,
进程扫描.............: 关闭
扫描注册表............: 关闭
搜索 Rootkit.......: 关闭
系统文件完整性检查........: 关闭
扫描所有文件...........: 智能文件选择
扫描存档.............: 打开
Recursion depth..: 20
智能扩展.............: 打开
宏启发式.............: 打开
文件启发式............: 中

扫描开始时间: 2012年8月16日  01:06

正在启动文件扫描:

开始在“C:\Users\XXX\Downloads\CIA_Activities_in_Afghanistan.zip”中扫描


扫描结束时间: 2012年8月16日  01:06
已用时间: 00:00 分钟

扫描完毕。

      0 已扫描目录
     13 已扫描文件
      0 发现病毒和/或恶意程序
      0 文件被划定为可疑
      0 个文件已删除
      0 病毒和恶意程序已修复
      0 文件已移到隔离区
      0 文件已重命名
      0 无法扫描的文件
     13 不关心的文件
      2 存档已扫描
      0 警告
      0 说明

回复

举报

hx1997
发表于 2012-8-16 01:07:58 | 显示全部楼层
z13667152750 发表于 2012-8-16 00:47
http://www.avira.com/documents/products/pdf/zh-cn/man_avira_free_antivirus_zhcn.pdf

小红伞官方使 ...

这是中文 pdf 排版不好,“启发式” 是大标题,“宏病毒启发式” 和 “高级启发式分析和检测 (AHeAD)” 是其下的副标题。说明红伞的启发式由宏病毒启发式和 AHeAD 组成。这更说明 Gen 不算在红伞启发式的范围内。




另外,根据我以前上报红伞的经验,一个报 HEUR 的文件上报后如果确认是病毒,会加注 "Please note that Avira's proactive heuristic detection module AHeAD detected this threat up front without the latest VDF update as: HEUR/Crypted."
而 Gen 则不会加注,而且分析师入库后的病毒名里可以包含 Gen 却不可能包含 HEUR。

http://analysis.avira.com/sample ... p;incidentid=970154

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
123456789下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 02:04 , Processed in 0.102813 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表