放点以前高中学习特征码免杀的资料。

zhq445078388

wowowo 发表于 2014-7-26 07:41
不用特征码那用啥呢。

你好像误会我的意思了
为什么说这种特征落后了呢?
正是因为他可以被myccl等东西定位出来.
他为什么会被定位出来呢? 因为他的特征码是连接着或者互相有关联的二进制串(也有可能是字符串)

现代特征码是怎么回事呢? 通过类fuzzhash算法来进行的特征计算,金山以前说的微特征也算
此类算法最神奇的特点就是.无法准确定位特征点,也就无法轻易免杀..

当然.还有一个特点.就是他们都可以从文件逆提特征.而不是正向的去通过特征扫描

这就是新一代的特征码技术

当然还有启发式..那个我不太了解

zealothunter

zhq445078388 发表于 2014-7-26 17:28
技术落后,并且 说真的 卡巴在反病毒上也还真就不行..

记住一点:"落地就要挨打"

算法这东西……是需要先判定其有恶意行为才能通过计算得出来特征码吧，而且某些正常软件还得在白名单里才行，否则QVM之类的算法引擎误报率杠杠的……（上次打开EEK用的老版本被QVM报毒了……）……
至于启发那东西，鄙人是这么理解的：启发式扫描指的杀软自动判断的能力或判定事物的技能。也就是说，杀软依靠自己特殊的反汇编模块对程序进行分析以判断威胁。启发式扫描可以说是杀软将危险的代码与函数（大多数是程序调用的API）记录下来储存成库，之后将各类危险代码定个分数的查杀技术。
不过鄙人理解可能有误，欢迎兄弟拍砖……