解密，费尔只是清除加壳，而没有清除真正的病毒

显示全部楼层 · 发表于 2013-3-2 12:59:18

费尔还需努力啊！！

显示全部楼层 · 发表于 2013-3-2 13:45:42

本帖最后由 Filseclab 于 2013-3-2 13:48 编辑

费尔v8绝非见壳就报，否则早关门了，加壳与否不作为判别根本，壳对费尔的虚拟机启发和动态防御几乎无影响。费尔见壳报壳是一个流传多年的传说。

显示全部楼层 · 发表于 2013-3-2 13:51:47

Filseclab 发表于 2013-3-2 13:45
费尔v8绝非见壳就报，否则早关门了，加壳与否不作为判别根本，壳对费尔的虚拟机启发和动态防御几乎无影响。 ...

我记得火绒老大有一个加壳的白样本包，我用费尔测试发现，默认启发下报毒1个，最高启发报毒九个，根据费尔原理基本启发是不会调用虚拟机脱壳的，而最高启发下可以脱壳，那么为什么脱壳还报毒？是脱不了还是怎么回事

显示全部楼层 · 发表于 2013-3-2 14:05:42

夜微凉发表于 2013-3-2 13:51
我记得火绒老大有一个加壳的白样本包，我用费尔测试发现，默认启发下报毒1个，最高启发报毒九个，根据费尔 ...

坐等官人回复

显示全部楼层 · 发表于 2013-3-2 15:51:43

本帖最后由 skycai 于 2013-3-2 16:06 编辑

夜微凉发表于 2013-3-2 13:51
我记得火绒老大有一个加壳的白样本包，我用费尔测试发现，默认启发下报毒1个，最高启发报毒九个，根据费尔 ...

我记得我发过那类样本的一个贴到多引擎上。
46家安软有36家报毒。其中不乏大蜘蛛、eset、塞门铁壳等我们习惯理解上解壳厉害、误报少的安软。

所以我的理解，是安软策略问题。某些壳，正常的软件并不会使用，基本都是恶意软件在使用。

最高启发下，应该是这种策略的权重提高了。

显示全部楼层 · 发表于 2013-3-2 16:00:21

真的这样么

显示全部楼层 · 发表于 2013-3-2 16:20:51

小淘气发表于 2013-3-2 11:15
这些不是流氓吗。微点也很难拦截。

微点可以拦截。。。。。。。。。。。。。。

虽然微点对于流氓难以有效遏制。。但当系统产生危害时。。微点从不手软。。

这个样本。。。。效果如下。。

只是搜狗浏览器图标变了。。其他全部正常。。。。IE浏览器相关功能完全没有破环。。。

显示全部楼层 · 发表于 2013-3-2 16:24:46

Filseclab 发表于 2013-3-2 13:45
费尔v8绝非见壳就报，否则早关门了，加壳与否不作为判别根本，壳对费尔的虚拟机启发和动态防御几乎无影响。 ...

顺便问问，关闭病毒库测试“动态防御”和关闭实时监控测试动态防御，效果上有区别没。

显示全部楼层 · 发表于 2013-3-2 18:05:19

skycai 发表于 2013-3-2 16:24
顺便问问，关闭病毒库测试“动态防御”和关闭实时监控测试动态防御，效果上有区别没。

关闭病毒库启发还在，关闭实时防御启发也没了

显示全部楼层 · 发表于 2013-3-2 18:07:31

夜微凉发表于 2013-3-2 18:05
关闭病毒库启发还在，关闭实时防御启发也没了

那他的测试动态防御，不久方式错误了？

另外，不理解怎么他的清除，样本的所谓“母体”还在。
我这里做了实时防御和动态防御的两个测试，都是ko了。。

[费尔] 解密，费尔只是清除加壳，而没有清除真正的病毒