真的憋不住了，请教高手。

ELOHIM

安软就不能透过现象看本质，直指样本真象吗？
扩展名又不是二进制，虽说可以避免运行，但那也是可以轻易通过各种方法更改的。
为什么改了扩展名就可以杀？
这种检测机制叫什么？
都有哪些安软使用这种方式检测的呢？

我总感觉这种检测方式很**，隔一层纸就看不清楚的感觉。

一个不具威胁扩展名的文件是不是放一百年也不会有威胁从而避免查杀呢？
那这种不具威胁的扩展名的文件，是否可以像白加黑那样被其它程序调用呢？

ELOHIM

温馨小屋 发表于 2015-9-2 15:29
我发现好像只有360之类国内&#21378 ...

同意你的意见。
性能和安全之间不有平衡。但是不能捂着嘴巴乱讲话。
有一成语叫自相矛盾。
改了扩展名和不改扩展名，哈希值有变吗？？？
如果没变，请那些安软严肃的告诉用户这个文件到底是不是安全的。
[mw_shl_code=css,true]Sigcheck v2.20 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\users\^\downloads\45.0.2454.85_chrome64_installer.exe:
        Verified:       Signed
        Signing date:   10:00 2015/8/28
        Publisher:      Google Inc
        Description:    Google Chrome Installer
        Product:        Google Chrome Installer
        Prod version:   45.0.2454.85
        File version:   45.0.2454.85
        MachineType:    32-bit
        MD5:    463CF896DB6F11A2E569458C94CF13C4
        SHA1:   46824C18C2E82A7E78E122C95506193ED41510BD
        PESHA1: 4FE829E66DCFD378B19E2583CAA558E14969A926
        PE256:  70811179E2CA7889A83371C284AD96C06B73D3C0993C08D13339D460FE783ECB

        SHA256: B4D7E6B3523330CCDC33EE4B5831685AD019349E2704C942C1B9FF4360A6DDD7

        IMP:    97C84E275E3D60A5007B71CAF69B1F34

C:\Users\^>"F:\SysinternalsSuite\sigcheck.exe" -h "C:\Users\^\Download
s\45.0.2454.85_chrome64_installer.vir"

Sigcheck v2.20 - File version and signature viewer
Copyright (C) 2004-2015 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\users\^\downloads\45.0.2454.85_chrome64_installer.vir:
        Verified:       Signed
        Signing date:   10:00 2015/8/28
        Publisher:      Google Inc
        Description:    Google Chrome Installer
        Product:        Google Chrome Installer
        Prod version:   45.0.2454.85
        File version:   45.0.2454.85
        MachineType:    32-bit
        MD5:    463CF896DB6F11A2E569458C94CF13C4
        SHA1:   46824C18C2E82A7E78E122C95506193ED41510BD
        PESHA1: 4FE829E66DCFD378B19E2583CAA558E14969A926
        PE256:  70811179E2CA7889A83371C284AD96C06B73D3C0993C08D13339D460FE783ECB

        SHA256: B4D7E6B3523330CCDC33EE4B5831685AD019349E2704C942C1B9FF4360A6DDD7

        IMP:    97C84E275E3D60A5007B71CAF69B1F34[/mw_shl_code]

上面是谷歌安装程序在变更扩展名以后的散列值。

HEMM

从不改，检测不出来就算了，改来改去的自己累，也不是一般用户的做法。最好是监控去处理，等需要到手动扫描才能处理了，多少我会有点嫌弃。

bzaf868

卡巴斯基默认是根据文件头判断文件类型的，也可以改成按照扩展名判断。但不管怎样，默认设置下确实只会扫描特定类型的文件，但是有一点例外，无扩展名的文件会被卡巴直接当作可执行文件。直接看扩展名的杀软也不少。

sunnyjianna

不带扩展名的也不知道怎么运行它，这类东东我一律扔回收站的
HIPS辅助下也不错的。

酒醒寂寞饮小雨

您所表述的，应该只是杀毒安全防护中的引擎扫描环节，因为没双击，不涉启发式及行为拦截拦截。
所以只回复文件实时监控。相关内容
做过免杀就会知道，目前大部分殷勤是根据 文件特征码，头字段，输入表。
进行特征查杀。这是针对所有文件的，至于为什么修改扩展名就免杀。
确切的所应该是，不是免杀而是事实监控没扫描。
您要知道事实扫描所有类型的文件，会降低系统性能！
所以能需要扫描所有类型的文件，请您不要使用默认设置，可以设置成扫描所有文件。在尝试

ericdj

果断无视

85683213

这种检测机制叫什么？
都有哪些安软使用这种方式检测的呢？

现在几乎所有安软都预设这样，为了效能
你总不能叫他一天到晚完整扫瞄10G的电影档

那这种不具威胁的扩展名的文件，是否可以像白加黑那样被其它程序调用呢？

可以，所以现在用行为分析和深层分析档案类型，大多数软件都具备这个功能，而目前做得最好的我认为是趋势

---------------------------------------------------

谜之音

估计云分析只会上传exe和dll，总不能上传一些超大档案或是隐私资料吧
所以特殊样本(整个资料夹、没有附档名)怎么收集，我也想问。

水墨静音

国外杀软不管怎么改扩展名，都可以扫描检出，国内杀软改了扩展名才能扫描检出的奇特现象貌似只有360


不过监控排除扩展名是常用做法，你问的是扫描，以下说的是实时监控
国外杀软【实时监控】默认不监控某些扩展名文件，是很安全合理的，这些排除的扩展名是【不能被执行，也不能被调用的扩展名类型文件】，你把一个病毒扩展名改成txt，病毒再牛逼，双击都照样危害不了电脑。

方鸿渐

如果什么格式都杀的话，得卡成什么样子啊……

HEMM

我猜楼主想说的是样本区~布吉岛我猜的对不对......
这和安软的扫描方式以及监控方式是什么应该无关......怎么后面开始讨论这个了，只要有设置选项的，设置设置都可以狂扫，当然扫不扫的出是另外一回事.....
不过我个人不大喜欢监控很奇特的安软，特指对常规可执行文件bilibili的那种，你懂的~
再仔细看看，是不是我理解错了= =
额.....反正我随便，都是交给监控的，监控不BB我就不管了，直接给左键按下去死活爽一发~