eset7.0 hips新技术阻断病毒

271200017

1；关掉防病毒  防火墙； 仅开hips默认设置； 运行病毒        高级内存扫描程序 隔离病毒；                                      

2013/11/16 星期六 0:45:22        高级内存扫描程序        文件        系统内存 > C:\Users\Administrator\Downloads\样本组一遗漏样本\样本组一遗漏样本\13.exe        Win32/Spy.Zbot.ZR 特洛伊木马 的变种        已清除 - 已隔离       

那么我们重新开启病毒防护；
C:\Users\Administrator\Downloads\样本组一遗漏样本\样本组一遗漏样本\13.exe - Win32/Spy.Zbot.YW 特洛伊木马 - 通过删除清除 - 已隔离 [1]

发现病毒名称不一致；一种报发是变种；
证明高级内存扫描程序报的病毒不是依赖于更新病毒库；


2,关闭防病毒，关闭防火墙；仅开hips默认设置； 测试某最新锁屏病毒；

电脑进入explorer.exe被终止时的界面，成功防御, 病毒被清除（注意没有隔离 隔离区无记录找不到源文件）记载如下：

2013/11/16 星期六 1:04:00        高级内存扫描程序        文件        系统内存 > svchost.exe(1404)        Win32/LockScreen.AVP.Gen 特洛伊木马        已清除 - 包含被感染的文件               
为什么没有记载文件路径？

开启反病毒, C:\Users\Administrator\Downloads\样本组一遗漏样本\样本组一遗漏样本\11.exe - Win32/Kryptik.BOSF 特洛伊木马 的变种 - 通过删除清除 - 已隔离 [1]
这是病毒库报的;eset记载时间2013年11月12日

搜索Win32/LockScreen, eset首次将该家族列入病毒库系列出现在2009年4月，查看该庞大家族的病状，实际大体相似，锁屏要钱之类 早在2009年就被eset记载，并单独列为一个家族来分析。

查看Win32/LockScreen.AVP该类型是eset2013年3月17日收录；也就是说2013年11月才收录的病毒在 这一天起能被识别。会以  疑似 。。。。 变种  来阻止该威胁。

从上述分析推断，未知病毒识别威胁的过程详解:
Win32/LockScreen(确认是该威胁系列，2009年）-----Win32/LockScreen.AVP（变种类型，AVP类型2013年3月）--------Win32/LockScreen.AVP.Gen（变种威胁名，2013年10月）

目前该病毒库确认为：Win32/Kryptik.BOSF       【Win32/Kryptik系列在eset目前已经发现了10万+种变种类型】

  由于时间关系  不做多的分析

证明高级内存扫描程序 在没有病毒库的情况下, 能够终止一部分未知威胁

wifexiao2009

不错，支持一下

csjolin

支持ESET！！！

驭龙

您好：我是卡饭帮助适应会的驭龙，本帖未达到原创帖标准,建议修改原创标签,以免被管理人员处罚,谢谢合作

tvtv

支持一下   hips本来就不依赖病毒库吧   

liruxi2006

nod32高级内存扫描报“xx是特洛伊木马 的变种”实际就是广谱特征码，也称基因特征码。这个还是要病毒库支持的

聆听落雨

说实话看到实验数据就头疼，支持楼主了

271200017

补充：威胁系列   变种类型   变种威胁名 ；这些关键词  是根据eset英语网站英文名翻译而来，非本人主观推测；是专业名词；    按照官方的分类标准；应该是  类型是系列的子集；

kuaile

支持ess

qdy2009

还不错