好吧，为了大家认为的公平~适当解开些现在杀毒软件误报多的原因吧。

zhq445078388

china_killer 发表于 2013-2-21 22:00
在微点上过班，就很懂一样，我02年进瑞星的时候就没见过旭哥做研发～～

你就别八卦不是你经历过 ...

表示是没经历过..那时候我才7~8岁小屁孩,
但是这不代表我不对先行者们进行崇拜和八卦..

另外..我表示我只是听说的.

既然亲出来辟谣了..那我就听

china_killer

zhq445078388 发表于 2013-2-21 22:04
表示是没经历过..那时候我才7~8岁小屁孩,
但是这不代表我不对先行者们进行崇拜和八卦..

呵呵～～～ 听来的，下回加个听说就可以。。别引起不必要的误会。

误报的问题，赶紧反馈下吧～～～

其实e语言的误报国内也很严重的！！！！

zhq445078388

china_killer 发表于 2013-2-21 22:00
在微点上过班，就很懂一样，我02年进瑞星的时候就没见过旭哥做研发～～

你就别八卦不是你经历过 ...

另外 V大
可能是见解不同

本地的代码级对抗在加密这块.病毒靠一个办法已经把静态干的体无完肤了

云控密文

通过公开算法进行加密.密文存储在服务器.
静态扫描扫死了也查不出问题

所以咱们就别纠结这壳子的问题了
搞好行为防护才是正路

当然更多的是保存密钥..

z13667152750

现在杀毒软件广泛采用的一种查杀逻辑就是非白即黑（不像白文件到一定程度就是黑的了）

想到个例子，压缩炸弹，就是非常高压缩比例的压缩包，这种文件往往会被杀毒软件直接杀掉，但是我同样可以人为构建一个不包含恶意代码的压缩炸弹，同样会被杀。
但这是一个非常好的查杀理念，因为正常文件绝对不会出现压缩炸弹这么夸张的压缩比，也就是现实中不可能出现这种误报，但又对使用这种免杀的病毒有非常好的查杀效果

非白的查杀逻辑同样存在反面例子，比如易语言的高误报，由于特殊的PE结构而导致易语言程序很容易被误报，

但这些必须放到现实的样本中才能得出结论，人为构造的样本无说服力

追影子的十三

FSCS扫了16个，报了8个

vardyh

zhq445078388 发表于 2013-2-21 22:07
另外 V大
可能是见解不同

防御是应该加强，
这两天在跑样本去的样本，贴图贴的手软。。。。

http://bbs.kafan.cn/thread-1471760-1-1.html
http://bbs.kafan.cn/thread-1471964-1-1.html
http://bbs.kafan.cn/thread-1471990-1-1.html

追影子的十三

能脱壳当然好，虽然很多杀毒不愿做这种事，像大蜘蛛貌似是公认的脱壳最好的？
看到火绒的引擎能脱这么多壳，还是挺感动的，国产也不差啊！

不过感觉脱壳目前对火绒来说用处不大，在我国这个追求查杀率的社会，还是搞好查杀率才是王道

zhq445078388

china_killer 发表于 2013-2-21 22:27
错了～～～

本地代码变型，如果是纯代码变换。。现在的本地化虚拟机是能处理的。

本地行为拦截很不错.但是1.日志量.2,HOOK点.3,HOOK后的fast处理

不做好会导致系统运行缓慢,或漏拦

不过我相信做安全软件的厂商以后都能处理好把

china_killer

zhq445078388 发表于 2013-2-21 22:30
本地行为拦截很不错.但是1.日志量.2,HOOK点.3,HOOK后的fast处理

不做好会导致系统运行缓慢,或漏拦

嘿嘿，综合静态和动态行为分析。。。。你会有惊喜的。

其实用户不是搞市场的那些人想的那么笨的，反病毒行业改考虑调整了，现在误报～～导致的问题非常严重

倚天雪

金山杀了6个