好吧，为了大家认为的公平~适当解开些现在杀毒软件误报多的原因吧。

dl123100

jefffire 发表于 2013-2-21 20:30
哦。
对了你要的什么样本啊？我好久不进毒组了。

某人需要一些流行病毒样本分析下好搞自我保护和主防，已经不需要了，我告诉他还是先把基础的搞上去。

virusdefender

skycai 发表于 2013-2-21 18:30
随便找了一个样本发多引擎
telock.exe
https://www.metascan-online.com/zh/scanresult/file/2aa795416c8 ...

https://www.metascan-online.com/ ... 1489b1b8cad4cd1fb13

我手动脱壳后2家报毒 怎么回事...

huang739530887

真小读者 发表于 2013-2-21 20:15
用卫士扫的？

是卫士  不是杀毒

skycai

virusdefender 发表于 2013-2-21 20:51
https://www.metascan-online.com/zh/scanresult/file/ee2ee83fb7bd41489b1b8cad4cd1fb13

我手动脱壳后 ...

脱壳了还报，就得问刘总了。

ql306952744

这个支持一下，感觉找到合适的杀软了

vardyh

virusdefender 发表于 2013-2-21 20:51
https://www.metascan-online.com/zh/scanresult/file/ee2ee83fb7bd41489b1b8cad4cd1fb13

我手动脱壳后 ...

编译器都识别出来了，还报壳，因为你的dump里面是有壳代码残留的，

zhq445078388

jefffire 发表于 2013-2-21 20:02
瑞星是国内第一个用虚拟机脱壳的，而且是全球唯一把大部分虚拟机代码写在驱动里面的。火绒继承自老瑞星， ...

虚拟机是微点的刘总弄的
前期也是他做的深入和维护

真小读者

huang739530887 发表于 2013-2-21 20:55
是卫士  不是杀毒

卫士扫描不支持压缩包，所以解压才报

china_killer

zhq445078388 发表于 2013-2-21 21:39
虚拟机是微点的刘总弄的
前期也是他做的深入和维护

在微点上过班，就很懂一样，我02年进瑞星的时候就没见过旭哥做研发～～

你就别八卦不是你经历过的事了～呵呵

瑞星的本地化虚拟机（现在还在用的）就是vardyh设计开发的～

火绒的第二代本地化虚拟机也是他开发的～

z13667152750

只要在现实中不照成大量误报的报壳都是可以接受的

所有测试的必要前提都是：不允许手动构造样本

因为你可以不认同被人的设计理念，但这没关系，最终还是看现实效果。但手动构造的样本没有说服力

我只问下，这种样本实际会遇到吗？请拿真正的恶意程序以及正常程序来测试，同时看查杀与误报。
如果由于考虑到对这些现实不可能出现样本的误报而降低了对现实中真正恶意程序的查杀，那么这种设计理念就是错误的；如果对这些构造的样本出现大量误报，但是对现实中的正常程序误报很低同时可以很好的查杀现实中的恶意程序，那么这种设计理念就是非常好的