干吗锁帖呀。只想谈谈看法

woai_jolin

ms 用复合特征码定位器multiCCL也可以很简单的过nod高启

cici584522

原帖由 woai_jolin 于 2008-1-29 21:48 发表
普通的修改是不足以过nod的高启
记得我在那里看见过一个过nod高启的实例
过nod高启须得从前往后定位才可以

呵呵。。应该是从后网前定位。。

不过要证明了改特征可以过NOD高启发。。也证明高启发=特征

The EQs

按照你的说法。。。。如果微点不是查杀磁碟机的话。。。。我一天修改一个特征码过微点。。。那个不就是能说微点的行为分析也是基于特征码？？。。

woai_jolin

原帖由 cici584522 于 2008-1-29 21:52 发表



呵呵。。应该是从后网前定位。。

不过要证明了改特征可以过NOD高启发。。也证明高启发=特征

恰好相反 从后往前不能够过nod的高启

cici584522

原帖由 woai_jolin 于 2008-1-29 21:52 发表
ms 用复合特征码定位器multiCCL也可以很简单的过nod高启

multiCCL 定位器可以说是目前定位率非常准的一款。。。

对付启发式相当好。。

用MYCCL经常无法定位到启发式特征的准确位置

solcroft

原帖由 cici584522 于 2008-1-29 23:20 发表


我回复了。。。虚拟机启发改特征一样过。。。

当然。。具体他的一些特性我不了。。没必要。。我只要知道改特征能过。

就OK了

原来你完全不懂免杀原理到底是怎么回事
只知道这里这么改，那里那样改
既然这个也不懂，那怎么来坚持说必定是因为特征码被过了？

改代码过安软未必代表那个安全所使用的方案是靠特征码
虚拟机启发我解释了，例子也给你了
你始终只懂得强词夺理

去洗澡~

cici584522

原帖由 EQ2 于 2008-1-29 21:52 发表
按照你的说法。。。。如果微点不是查杀磁碟机的话。。。。我一天修改一个特征码过微点。。。那个不就是能说微点的行为分析也是基于特征码？？。。

微点把占不能行为分析的病毒加特征入库。。

等分析出行为后。。升级引擎。。进行行为拦截

并把特征取消。。以避免病毒库不断增加

XANADU

原帖由 woai_jolin 于 2008-1-29 21:39 发表

又是用那个小三的话

他的话虽然被官方鄙视了。。。。但是，其中部分观点，我比较赞同，确实碰到了NOD的软肋
当然，我也理解官方的反驳。
不过官方反驳仅是针对文字上的部分错误或不合理的地方，像是文字游戏
并没有说到核心问题，在核心问题上，NOD的一些缺点是无法回避的
善于读文章的人，看过反驳就能看出：完全是在抓病句和抓错别字（一个小比方），而没有找到可以真正说服对方的理由。
其实很简单，只要查杀率上去了，什么都解决了

[ 本帖最后由 XANADU 于 2008-1-29 21:57 编辑 ]

cici584522

原帖由 solcroft 于 2008-1-29 21:54 发表

原来你完全不懂免杀原理到底是怎么回事
只知道这里这么改，那里那样改
既然这个也不懂，那怎么来坚持说必定是因为特征码被过了？

改代码过安软未必代表那个安全所使用的方案是靠特征码
虚拟机启发我解释了， ...

不要跟我说一些所谓的原理。。。

改代码过杀软的扫描。。。如果扫描不是基于代码。。

那改代码又何从能过。。

我看强词夺理的是你才对

酱小鱼

摘自http://www.kaspersky.com.cn/KL-AboutUs/news2006/12n/061204.htm

  当代反病毒产品使用两种主要方法检测恶意程序码——以病毒码为基准的分析，与主动防御/探索式分析。

主动防御方法不需要释出病毒码。相对的，反病毒程序会分析扫描到的物件程序码，及/或启动的应用程序行为，并根据预先设定的规则，判定软件是否为恶意软件。

主动防御可通过数种方法达成。在此我们将探讨其中两种最普遍的方式：启发式分析器与行为拦截工具。
分析器通常会先由扫描式码开始，寻找具备恶意程序特征的可疑属性（命令）。此方法称为静态分析。
动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁。

以上.


动态启发式分析器会将应用程序的程序码部分复制到反病毒程序的模拟缓冲区中，并使用特别的“技巧”模拟其执行。若在此“模拟执行”中检测到可疑的动作，该物件将归类为恶意物件，且该物件在电脑上执行时将遭封锁。

这一段.希望楼主好好理解后再发帖讨论

[ 本帖最后由 酱小鱼 于 2008-1-29 21:58 编辑 ]