对扫描引擎虚拟环境的弱弱理解

显示全部楼层 · 发表于 2013-1-29 19:44:52

能不能这样讲，扫描引擎的虚拟环境存在不够灵活的情况？

比如一个针对程序A的木马。

用户实机环境中有程序A，而扫描引擎虚拟环境中，不一定有程序A。

然后，扫描安全。再然后，双击悲剧了……

显示全部楼层 · 发表于 2013-1-29 19:57:11

要是这样的话其他我不知道 eset应该就光荣了

对了 eset有虚拟机么

显示全部楼层 · 发表于 2013-1-29 20:24:41

镜像虚拟，您可以将真实系统完整的镜像保存，在虚拟机里展开镜像文件，实现镜像虚拟看看。

显示全部楼层 · 发表于 2013-1-30 11:57:39

你说的是启发引擎吗？

显示全部楼层 · 发表于 2013-1-30 14:23:36

mikefan21 发表于 2013-1-30 11:57
你说的是启发引擎吗？

或许我糊涂了吧。我说的的确是启发引擎。

有时候，逛逛样本区总看到扫描不报，主防拦截的情况。而这些扫描引擎查杀率都还可以的。

所以，我萌生了 “引擎虚拟环境不够灵活的” 弱弱想法。

显示全部楼层 · 发表于 2013-1-30 16:41:03

liningaigo 发表于 2013-1-30 14:23
或许我糊涂了吧。我说的的确是启发引擎。

有时候，逛逛样本区总看到扫描不报，主防拦截的情况。而这 ...

虚拟机无非就是脱壳机.模拟器
最多是个用了VT技术的虚拟机

根本无法完美模拟真实环境.

现在大多数杀软虚拟机都是个脱壳机...简单的跑下壳头然后扫内存..或者dump出来再通过汇编启发