對感染型病毒以及破解外掛類不清除祇能刪除文件的原因猜測求吐槽

Rosa真紅

其實卡巴有能力清除病毒
有意把它去掉了
主要是針對傳統特征碼查殺
清除病毒的原理是覆蓋掉病毒的一段特征碼 使它無法感染和破壞文件
病毒作者用卡巴清除病毒后檢查一下哪裏的特征碼被覆蓋掉了 做免殺就很簡單了
卡巴引擎的優越性沒有了
如果病毒中有多段惡意代碼 清除掉一段 剩下的代碼還可以起作用

afsfdagd

不解，你说卡巴有意把它去掉了。对于启发式和其实病毒本体的卡巴不会有清除项，还有一些有清除但是灰的说明被感染的文件已经被破坏或是不支持写入，原文件的受损程度超过了修复范围，是不可逆的。其他的感染文件还是可以清除的。

Rosa真紅

afsfdagd 发表于 2013-1-23 18:10
不解，你说卡巴有意把它去掉了。对于启发式和其实病毒本体的卡巴不会有清除项，还有一些有清除但是灰的说明 ...

為什麼是宏病毒啊 還是97格式的
宏病毒把宏删了就可以了 不用覆蓋特徵碼
修復僅限於系統文件吧
如果沒有用沙盒技術的話 什麽都修復卡巴lab的只能找病毒作者要源代碼了

afsfdagd

Rosa真紅 发表于 2013-1-23 18:49
為什麼是宏病毒啊 還是97格式的
宏病毒把宏删了就可以了 不用覆蓋特徵碼
修復僅限於系統文件吧

更新了图片，见2L，清除感染型的，没错吧..
当然，清除之后并不一定能保证程序正常，现在感染型也不多了，经常碰到了但文件已经被感染甚至重复感染清除了也不一定能用(其它杀毒也一样的，因此最终大部分还是删了)   清除并不一定局限于系统文件,不过针对系统文件可能有其它的额外清除，毕竟原来看到系统文件感染卡巴提示重要文件无法删除，只能清除..

Rosa真紅

afsfdagd 发表于 2013-1-23 18:55
更新了图片，见2L，清除感染型的，没错吧..
当然，清除之后并不一定能保证程序正常，现在感染型也不多 ...

搜索了下 Virus.Win32.Alman.b很老的病毒 當時宣稱只有卡巴可以清除
會變種而且更改特徵碼 用特徵碼引擎難以查殺
這個病毒已經被卡巴吃透了 如果其它安軟不是草包的話 可能用的是啓發式引擎 為這個病毒添加了一條啓發
卡巴對此病毒的感染機制已經熟悉
而且如果這麼輕易被刪除的話說明一件事情 簡單的把病毒添加到文件開頭或末尾
只要檢測到 清除的方法也很簡單
如果是添加到空白字段的 或者直接把原文件加殼就難說了

而且主要在出現這個病毒的時候 卡巴的版本還早 病毒沒現在的聰明 也沒白加黑什麼的免殺
所以有精力研究病毒和清除方法 大部份的可以清除 清除不了的確實是深度或重複感染
有人說不清除了是12 13版 現在在我電腦上也極其罕見能清除的
可能是把那時候的修復引擎保留下來
但是現在不搞這個了 云裏面還有N多沒處理的文件

zkx6762

Rosa真紅 发表于 2013-1-23 19:27
搜索了下 Virus.Win32.Alman.b很老的病毒 當時宣稱只有卡巴可以清除
會變種而且更改特徵碼 用特徵碼引 ...

求lz推荐几个修复能力好点的软件

afsfdagd

Rosa真紅 发表于 2013-1-23 19:27
搜索了下 Virus.Win32.Alman.b很老的病毒 當時宣稱只有卡巴可以清除
會變種而且更改特徵碼 用特徵碼引 ...

那样比较复杂的换了那个杀软都差不多吧，比较小的几率会遇到，我没有样本，求个复杂的样本哈，刚刚的是样本区找的，毕竟修复这个东西技术含量比较高，卡巴虽然修复强劲，但道高一尺魔高一丈，无法对付的肯定也有很多，只是在同类产品中处于中上水平..
做免杀也没办法了，杀毒要是啥都能修复就不需要重装系统了...

Rosa真紅

zkx6762 发表于 2013-1-23 19:32
求lz推荐几个修复能力好点的软件

這個愛莫能助
平時不關心這個
真解決不了的就在PE下備份數據然後格盤Ghost回來
運氣好沒遇到鬼影一類寫MBR的 BIOS也夠硬

Rosa真紅

afsfdagd 发表于 2013-1-23 19:38
那样比较复杂的换了那个杀软都差不多吧，比较小的几率会遇到，我没有样本，求个复杂的样本哈，刚刚的是 ...

卡巴的高級清除技術似乎很強
也因為人力不夠了 所以12 13版總遇到只能刪不能清除的病毒
但是我認為通過覆蓋掉一段特徵碼使病毒難以運行的可行性還是有的
關於卡巴的高級清除技術 沒有找到資料 沒信心可以開火絨劍讓卡巴清一次然後看完它的數據
如果您有相關資料望不吝賜教

afsfdagd

Rosa真紅 发表于 2013-1-23 19:50
卡巴的高級清除技術似乎很強
也因為人力不夠了 所以12 13版總遇到只能刪不能清除的病毒
但是我認為通過 ...

高级清除技术主要是能够清除在系统中活动的常规方法结束不了的威胁，似乎不是专门针对感染型，我一共遇到几次，但启动这个模式是插u盘的时候，那个也不是感染型的。奇怪的是有些样本文件反病毒在其运行前就拦截(右键点击explore访问它)，也有提示用高级清除(有可能是增强清除)，但我没点，因为还要重启，毕竟只是一个样本 具体能不能有更强的清除感染能力以及真正的适用范围还真是不知道，不能太透明化了，卡巴也要留一手的对吧.