干吗锁帖呀。只想谈谈看法

woai_jolin

原帖由 XANADU 于 2008-1-29 21:31 发表
o(∩_∩)o...
简单明了，启发依赖特征码，依赖病毒库

这么一推理，10几万病毒库的NOD，究竟启发能强到哪里去？

小三说启发基于病毒库，起码这句话没有错
启发再好，那一丁点毒库，怕是启发不过卡巴、红伞之类 ...

就小三那种没有水准的人 直接54

solcroft

原帖由 cici584522 于 2008-1-29 22:56 发表
总结一句话...启发式同样依靠的是特征...卡巴启发扫描/红伞/NOD32 都一样

通过修改。。都可以免杀

一个文件被修改了就能过了安全软件，就代表那个安全软件靠的是特征码？
虚拟机启发的原理你应该早就知道，用不着别人向你解释吧
或则难道只是个懂得用constructor的工具黑客？

傻猪猪米走鸡

气氛好一点，用词没那么多火药就不锁了……

cici584522

别说那些测试了。具体他们的权威我也不做评价。

我就一句话...NOD32的启发就是基于特征库

简单明了...而且要拿证据..我可以利马做个录象

PS：其实我以前都做过NOD32的了。。拿来就可以了

cici584522

原帖由 solcroft 于 2008-1-29 21:33 发表

一个文件被修改了就能过了安全软件，就代表那个安全软件靠的是特征码？
虚拟机启发的原理你应该早就知道，用不着别人向你解释吧
或则难道只是个懂得用constructor的工具黑客？

修改特征就能过那杀软。。不是靠特征是靠什么？？？

麻烦你解释清楚

The EQs

非要报成BD那样才叫虚拟机启发？？？。。。。。。。。

z8820086

原帖由 EQ2 于 2008-1-29 21:31 发表
。。。。。。。。。。。VB100的测试都是使用默认的设置。。。。。不开启启发。。。而且才200多个病毒。。。。过vb100很简单。。

说呢··国内那帮杀软挤破了脑袋才过了个金山啊

hj5abc

lz 应该说下 "不依赖病毒库" 启发 ..就像卡巴直接报的 invader 或 bd 的启发.

XANADU

原帖由 EQ2 于 2008-1-29 21:32 发表

你忘记了虚拟机启发？？？。。。

小东的测试很明显了，不管什么启发，最终还是特征，是和病毒库有莫大关联的

说虚拟我还记起来了，NOD的虚拟启发和卡巴、诺顿相比如何？

总之说穿了，传统杀软，就是依赖病毒库的，启发不过是辅助
病毒库大，就有大的优势，这点无法回避

[ 本帖最后由 XANADU 于 2008-1-29 21:37 编辑 ]

solcroft

原帖由 cici584522 于 2008-1-29 23:05 发表

修改特征就能过那杀软。。不是靠特征是靠什么？？？

麻烦你解释清楚

虚拟机执行 + 规则 = 不依靠特征码
虚拟机启发免杀 = 探测虚拟机环境，加入虚拟机无法执行的代码，病毒代码本身不必修改

PS：改特征码照样能过行为拦截，就只看你懂不懂得怎么改
你不懂得怎么做并不代表这件事不可能
是不是说行为拦截也靠特征码了？