今天火绒官人说了这样一句话，纯讨论没任何恶意

幽冥の龙

纯讨论 没任何恶意！

因为对火绒蛮有兴趣的，所以最近都在试用火绒，也经常去样本区测试火绒

大家应该都知道火绒的扫描目前很弱，原因有二1、刚起步病毒库较小 2、暂时没有云

并且火绒用的是自己研发的单引擎，实力怎么样我不是专业人士不好说……

然后今天火绒更新了，针对扫描更新了很多，所以我就特地去样本去试了下扫描

最近的一个样本包，139个样本，火绒扫描提示扫描了200多个，查出 45个，删除45个 于是去论坛提交了一下，顺便对扫描数> 139 表示了疑惑
然后官人来回复了


重点是 很多不会在用户机器中感染的。。“评测样本”

那么问题来了，样本包内的样本是不是所谓的 评测样本？ 不会在用户机器中感染是否意思是没实际危害？
之前偶尔测过样本包，没扫出来的双击也确实很多运行不起来（虚拟机WIN7 32） ，但我也就双击过那么一次，因为样本包太多了……没空一个个全部双击

如果真的像官人说的这样，那火绒的这个引擎岂不是很碉堡还很智能？

对于近期的新病毒木马并且真正有危害的，是否可以准确扫描查杀，我没有试过，不清楚……
如果有人能提供 不是“评测样本”的样本包， 我有空可以来测试看看……

VUN

我觉得"评测样本"的意思是,很多样本可能很多普通的用户根本没什么机会遇到或接触到

幽冥の龙

VUN 发表于 2014-11-14 22:40
我觉得"评测样本"的意思是,很多样本可能很多普通的用户根本没什么机会遇到或接触到

那这类样本到底是该杀还是无所谓的呢？

我是知道有些评测样本是纯测试的，比如以前很流行的 一行代码
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
保存文本 之后测试防毒软件能不能杀，这个好几年前的了……那个时候传言就是如果杀软查不出这个那说明这个杀软非常差劲。

如果评测样本是这个意思的话…… 个人觉得真心查不查的出都无所谓了……
但是反过来想，如果这个代码查不出的话，那是不是意味着某种类型的病毒木马查不出？

VUN

幽冥の龙 发表于 2014-11-14 23:13
那这类样本到底是该杀还是无所谓的呢？

必须该杀啊,虽然不是所有人都会碰到，但还是会有人碰到的阿，，会不会遇到是网民的事，但作为杀软能不能杀毒那就不是杀软厂商自己的事了，那些用户是信任才用得，既然作为厂商推出了这个服务和产品那就得担当起这个责任和义务不是

vardyh

幽冥の龙 发表于 2014-11-14 23:13
那这类样本到底是该杀还是无所谓的呢？

我给你回复了

http://bbs.huorong.cn/forum.php?mod=viewthread&tid=4721#lastpost

另外，扫描对象数就是帖子里面说的字面意思，

举个例子，比如扫描一个PE样本，扫描样本本身（对象数1）不报毒，火绒引擎会对里面的子对象进行扫描，包括资源等（对象数＋n），假设也不报毒，会进入火绒的虚拟机去虚拟执行，虚拟执行后的镜像继续扫描（对象数＋1），如果不报毒，会检查虚拟机的虚拟文件系统，如果样本虚拟执行时会释放文件，那么被释到虚拟文件系统的对象也会进行扫描（对象数＋n），每个扫描对象都会重复这个过程，所以一个样本的扫描扫出多个对象是很正常的。

幽冥の龙

vardyh 发表于 2014-11-14 23:21
我给你回复了

http://bbs.huorong.cn/forum.php?mod=viewthread&tid=4721#lastpost

非常感谢科普，支持火绒

VUN

幽冥の龙 发表于 2014-11-14 23:13
那这类样本到底是该杀还是无所谓的呢？

我是知道有些评测样本是纯测试的，比如以前很流行的 一行代 ...

你说的这个代码已经是好早以前的东西了,那时候是作为一个简单的测试出的,本身并不具有威胁,而病毒样本区的是具有真实威胁的,而且有一部分可能还是网友亲身遇到打包上传的,不是同一个概念的~

bambooslip

vardyh 发表于 2014-11-14 23:21
我给你回复了

http://bbs.huorong.cn/forum.php?mod=viewthread&tid=4721#lastpost

那扫描测试是不是很难准确计数了。

学雷锋做人

我理解火绒方面的做法，全部计算在一起是比较混淆，我觉得可以分开计算和显示

化石MM

那段代码，别太当回事
那是欧洲用来确认你的杀毒软件是不是正常监控的一个代码
很多杀毒软件把这段代码放入病毒库，便于用户测试杀毒软件正常工作
仅此而已，至于这段代码杀毒软件杀不杀，与真实环境的病毒检出率无关。