从“ 试试你的杀毒软件的引擎是不是真的可以正确扫描”说起。

skycai

一直认为，进程有白、黑、灰的区别。

除了绝对白、绝对黑，各个厂商对灰文件的定义，并不完全相同。
那这个时候，标准是什么？

前几天看了“ 试试你的杀毒软件的引擎是不是真的可以正确扫描”一文。刚才又看见刘总问别人“金山解除误报”没。
于是好奇，下载了样本包，随便找了第一个样本，calc1.exe发上多引擎。

https://www.virustotal.com/en/fi ... nalysis/1361940174/

SHA256:        ab22b5e6901a54370f9be5a0e5260a84488d9fd26536f61ac14649fedfd66dbe
File name:        CALC.EXE
Detection ratio:         36 / 46
Analysis date:         2013-02-27 04:42:54 UTC ( 1 minute ago )

好，我们发现啥了，多引擎上的大多数杀软都报了异常。
其中，红伞、bd、eset、趋势、熊猫、avg、avast、comodo、大蜘蛛、GDATA、FS、麦咖啡、塞门铁壳、金山、瑞星通通都报了异常。
甚至连我们印象中脱壳能力强大的蜘蛛，甚至平时误报极少的铁壳。。。。。

那我不明白，是不是上面的36家杀软都错了？还是在某些灰文件的判断上，我们应该理解各个厂商有各自的考虑标准？

22667999

那位官人绝对是没事干

把正常系统文件加壳来测试杀软。

我倒觉得 只要不是微软的原版文件 哪怕被无害地加了个壳啥的， 都应该报

对系统文件的本来就应该这么严格。

Rosa真紅

誤報這回事就被這麼輕易的揭過去了

china_killer

楼主，你帖的图就能说明一些问题


1.有的产品用的（OEM）同款引擎  比如GDATA OEM 了BDC 所以和BDC误报了一样
       类似情况，还能找到~~

2.对于报的病毒名，产商自己都是有规范的。
      比如样本中被报：Backdoor.Hupigon.AAAH  【你可以查BDC，报这个的含义，“灰鸽子后门”】
      是不是误报，你可以试试，发加壳过的记算器程序给误报的国外产商，确认~~~


....

skycai

china_killer 发表于 2013-2-27 13:31
楼主，你帖的图就能说明一些问题

那明白了，36家杀软都错了。。。

所以他们必须要针对某个程序解除误报。

但是他们是否会对这种默认“规则”修改呢？

daojianwuhen

那都是火绒官人无聊的产物，或者说这些天在卡饭搅风搅雨只是为了炒作？

塔木德

22667999 发表于 2013-2-27 13:21
那位官人绝对是没事干

把正常系统文件加壳来测试杀软。

那你不需要用杀毒软件了。。现在很多软件都是加壳的吧。。很多是为了保护自己的利益。。
  费尔 V7里面有个功能是 见壳就报 但被人说了很久。。没什么实际意义。。