干吗锁帖呀。只想谈谈看法

显示全部楼层 · 发表于 2008-1-29 22:31:27

原帖由 woai_jolin 于 2008-1-29 22:30 发表

我并没有跑题
只是用反问的方式来回答

所有杀软都有免杀。这毫无疑问。。

但现在只是评论启发式扫描是否为特征支持？ OK？

显示全部楼层 · 发表于 2008-1-29 22:32:25

原帖由 cici584522 于 2008-1-29 22:31 发表

所有杀软都有免杀。这毫无疑问。。

但现在只是评论启发式扫描是否为特征支持？ OK？

意思就是没有无法通过修改特征来实现免杀的启发式杀软

显示全部楼层 · 发表于 2008-1-29 22:32:50

这里最好别出现主防2字。。以免混淆视听。。。

只用启发/行为 2词

显示全部楼层 · 发表于 2008-1-29 22:33:14

原帖由 woai_jolin 于 2008-1-29 22:32 发表

意思就是没有无法通过修改特征来实现免杀的启发式杀软

YES。。你承认否？

显示全部楼层 · 发表于 2008-1-29 22:34:10

不否认

显示全部楼层 · 发表于 2008-1-29 22:34:35

说出理由

显示全部楼层 · 发表于 2008-1-29 22:35:17

原帖由 cici584522 于 2008-1-29 23:56 发表
那就不理解你的说法了。。。请你直接列出无法通过修改特征来实现免杀的启发式杀软吧。。

或许这样我好理解点

修改代码过启发并不代表启发靠代码
我举出的PDM就是为了证明你的逻辑完全错误

再次解释虚拟机启发原理
在虚拟机里执行病毒，智能分析行为。和微点，卡巴PDM十分相似，区别是虚拟机启发把程序在虚拟机里执行，行为拦截则是实机执行
要免杀虚拟机启发，只需要探测虚拟机环境即可，导致病毒程序不在虚拟环境里执行
这样来虚拟机启发虽然不用病毒库，可是照样能通过修改代码来免杀

你再坚持装傻的话就算了...

显示全部楼层 · 发表于 2008-1-29 22:35:54

等等。。。我自己跑题了。。。改一下。。

应该说。。完全可以通过修改特征来实现免杀NOD

显示全部楼层 · 发表于 2008-1-29 22:37:26

原帖由 solcroft 于 2008-1-29 22:35 发表

修改代码过启发并不代表启发靠代码
我举出的PDM就是为了证明你的逻辑完全错误

再次解释虚拟机启发原理
在虚拟机里执行病毒，智能分析行为。和微点，卡巴PDM十分相似，区别是虚拟机启发把程序在虚拟机里执行， ...

这回看懂了。。那按你的意思。。 NOD32没有虚拟机启发？

显示全部楼层 · 发表于 2008-1-29 22:37:41

原帖由 cici584522 于 2008-1-29 22:35 发表
等等。。。我自己跑题了。。。改一下。。

应该说。。完全可以通过修改特征来实现免杀NOD

您可以发邮件给ESET的工程师和他讨论这个问题.ESET的回E MAIL速度还是很快的

[原创] 干吗锁帖呀。只想谈谈看法

回复 104楼 cici584522 的帖子