管中窥豹：从精睿包看China Pattern在世界的地位（新编辑）

webkiller

尘梦幽然 发表于 2014-9-2 17:13
虽然只是猜测，不过，真实的情况究竟是怎样的呢？请指教

有差异性病毒库外软不用的我。。。。
我的理解是这样的
比如上个月eset在样本区，有用国内版设置最高启发，恶意类型全开，扫描类型全选，依然杀不了。
结果一票人转英文版了。
1是控制误报率，比如俄罗斯至今依然流行delphi7系语言来编程，不会说写空壳都报毒
而国内d7写空文件在国内都报（曾经d7写的灰鸽子太有名了，d7写木马又太爽了）。
国内这次著名的“食鼠猫”也是delphi写的。
http://netsecurity.51cto.com/art/201408/449980_2.htm
编译信息里面竟然还有作者搜索delphi7的如何获取盘符与分区笔记。
然后中国区就是中文编程易语言了，搞搞恶意安装量，最爽了，一次10块钱打底。
国外碰到易语言概率小。（行为防护王道，涉及关键操作/安装就警告提示最好，而不是涉及代码，语言）

2.各国免杀手法了。比如重写mbr这个动作。格式化，分区。正常装系统也要用到的。
样本区最近出现这种敲竹杠的，首先报的就是国内的，原因你不可能把重写mbr都定义为病毒。
国内没有这个顾虑了，谁要这边的恶意作者最没节操了。哈哈，所以先主动防御（行为防护）警告了再说了，
今天刚在样本区看见一个饭友截图百度杀mbr动作的，提示是这样了，该软件涉及修改mbr，是否阻止，推荐阻止。因为杀毒软件不知道是你人为要操作修改mbr（比如装系统的软件ghost安装器，雨木风林安装器），还是恶意软件模拟这种操作以达到目的。索性基于关键行为先报了再说。

说的好像有点走题了。。反正就是免杀作者最喜欢基于特征码杀毒的软件了，而讨厌基于行为判断的杀软了。还有就是云库快的杀软。

徐庆

了解一下……

dragon2009120

推理得很好！