趋势8.0的对于DAT格式文件的监控机制和PE文件有差别？

显示全部楼层 · 发表于 2014-8-28 10:11:59

本帖最后由尘梦幽然于 2014-8-28 11:30 编辑

http://bbs.kafan.cn/thread-1767281-1-1.html

这个样本中包含恶意代码的是111.dat文件。
我再测了一次。
发现会检测的。（简中繁中7.0、8.0）
但是检测时长比PE文件类型长了很多很多。一般PE文件类型的病毒，解压出来，趋势秒弹报毒。
但是这个dat格式的病毒，大小也不大，但是要等待4-10秒才会报。
是资源优化的原因吗？
JS_RANSOMLOD.A
再尝试解压一次病毒压缩包。这时趋势科技简中繁中8.0又都能秒弹报毒。
这个监控机制有点奇怪啊。
DAT文件监控检测速度和PE文件有差距啊。

显示全部楼层 · 发表于 2014-8-28 11:20:49

这类我记得我有写过。。。。晚上找找看。

显示全部楼层 · 发表于 2014-8-28 11:27:15

我下載完,解壓縮完監控直接殺掉了

显示全部楼层 · 发表于 2014-8-28 11:28:36

本帖最后由尘梦幽然于 2014-8-28 11:30 编辑

寒山竹语发表于 2014-8-28 11:20
这类我记得我有写过。。。。晚上找找看。

我再测了一次。
发现会检测的。（简中繁中7.0、8.0）
但是检测时长比PE文件类型长了很多很多。一般PE文件类型的病毒，解压出来，趋势秒弹报毒。
但是这个dat格式的病毒，大小也不大，但是要等待4-10秒才会报。
是资源优化的原因吗？

显示全部楼层 · 发表于 2014-8-28 11:29:03

qw1217280 发表于 2014-8-28 11:27
我下載完,解壓縮完監控直接殺掉了

看4L。。。。

显示全部楼层 · 发表于 2014-8-28 13:41:58

尘梦幽然发表于 2014-8-28 11:29
看4L。。。。

我這也差不多3 4秒後殺雖然慢了點不過有殺至少比沒殺好

显示全部楼层 · 发表于 2014-8-28 19:33:49

尘梦幽然发表于 2014-8-28 11:28
我再测了一次。
发现会检测的。（简中繁中7.0、8.0）
但是检测时长比PE文件类型长了很多很多。一般PE ...

其一：首先要了解到DAT文件是什么文件；
其二：你就知道扫描为什么是最有效率的防御手段

显示全部楼层 · 发表于 2014-8-28 19:36:05

独孤无语发表于 2014-8-28 19:33
其一：首先要了解到DAT文件是什么文件；
其二：你就知道扫描为什么是最有效率的防御手段

dat文件有很多种类。dat文件既可以是视频文件，也可以是数据文件。
我比较看重真实世界防护水平，扫描的话，我还是觉得要综合看。

显示全部楼层 · 发表于 2014-8-28 19:57:49

尘梦幽然发表于 2014-8-28 19:36
dat文件有很多种类。dat文件既可以是视频文件，也可以是数据文件。
我比较看重真实世界防护水平 ...

其一：果然你被那些纷繁的知识扰乱了。
DAT文件的含义其实就是DAT文件，没啥特殊含义。
其核心部分在于：当文件后缀为“DAT”的时候，计算机会产生怎样的行为。（当你要读取该文件的信息的时候是怎样读取的？）

==============================
其二：什么是真实世界？正常的使用是为真实世界，跟我说的“扫描是最效率的防御手段”的论点没有什么关联之处。。。

。。。我的真实世界仅存在扫描，和微弱的HIPS

显示全部楼层 · 发表于 2014-8-28 20:27:41

独孤无语发表于 2014-8-28 19:57
其一：果然你被那些纷繁的知识扰乱了。
DAT文件的含义其实就是DAT文件，没啥特殊含义。
其核心部分在于 ...

我和你不是一个世界的，无法解释啊，

[讨论] 趋势8.0的对于DAT格式文件的监控机制和PE文件有差别？