自认为NOD32所谓虚拟机启发很强的来试试

cici584522

原帖由 woai_jolin 于 2008-1-30 13:33 发表

任何查杀技术都会有漏洞
就如还原软件 机械狗就可以过
这是不是说明还原软件就是鸡肋

有些人还以为要穿越NOD是件困难的事..

cici584522

原帖由 hj5abc 于 2008-1-30 13:34 发表
难道 eset 这么多年宣称的 仿真器 就因为这个样本而被肯定不存在了么 ?
这个只能说明nod的高启发( 特指未知PE病毒 )可以被过.

cici 的视线应该转移到BD上 , 有机会找个BD报behave的样本给你..
不过估计比较不好 ...

碰到过的..不太记得了..以前做过BD的免杀

反正我是没觉得NOD32有啥访真器..

我所做过的免杀病毒或木马..只要静态过了NOD.运行一样没反映(只针对单EXE木马//如果要释放DLL的..必须先把DLL导出来做免杀才行)

woai_jolin

既然lz这样说是不是改特征可以过行为判断
昨天我把那个小三BZ的问题 发给了二版
得到以下回信：

要准确的判断一个未知样本是否具有恶意行为，需要进过多种手段来分析。每种手段都会有其优点和缺点，因此一般来说每种手段的分析结果以分值来表示。所有分析完成后总的分值如果达到一个标准，就被判为有恶意行为。
    关于行为判断，虚拟机等技术都是以上分析手段的一种。

[ 本帖最后由 woai_jolin 于 2008-1-30 13:39 编辑 ]

hj5abc

有么?　被说的有多神? 可以贴个例子出来么?
avc中nod的启发成绩确实高,难道那是无聊人士捏造出来的?
只是不知道也没用过的人总是夸张的传播"启发有多强"罢了. 传的广了 ,就泡沫了..

cici584522

原帖由 woai_jolin 于 2008-1-30 13:37 发表
既然lz这样说是不是改特征可以过行为判断
昨天我把那个小三BZ的问题 发给了二版
得到以下回信：

没说可以过行为判断呀..真正行为判断是不基于特征码的

当然..瑞X除外..可以去看下我那篇 <揭露瑞星主动防御本质>的录象

woai_jolin

原帖由 cici584522 于 2008-1-30 13:39 发表


没说可以过行为判断呀..真正行为判断是不基于特征码的

当然..瑞X除外..可以去看下我那篇 的录象

我把原信一起给你发过来 二版把行为判断 虚拟机都归为启发

要准确的判断一个未知样本是否具有恶意行为，需要进过多种手段来分析。每种手段都会有其优点和缺点，因此一般来说每种手段的分析结果以分值来表示。所有分析完成后总的分值如果达到一个标准，就被判为有恶意行为。
    关于行为判断，虚拟机等技术都是以上分析手段的一种。如果您有兴趣，请阅读以下技术文档：

http://www.nod32cn.com/softdown/manual/启发式分析白皮书.pdf

     如有其它问题，请及时联系。

*************************************
NOD32 防病毒软件 / Outpost 防火墙软件
工程师编号:165
二版科技(深圳)有限公司
深圳市福田区深南大道中国凤凰大厦2栋26H
邮编：518026
电话：(755) 8301 5850
传真：(755) 8301 5890
网址：[url=http://www.nod32cn.comwww.outpostcn.com

www.nod32cn.comwww.outpostcn.com[/quote[/url]]
是行为判断不是行为拦截

[ 本帖最后由 woai_jolin 于 2008-1-30 13:42 编辑 ]

cici584522

原帖由 hj5abc 于 2008-1-30 13:38 发表
有么?　被说的有多神? 可以贴个例子出来么?
avc中nod的启发成绩确实高,难道那是无聊人士捏造出来的?
只是不知道也没用过的人总是夸张的传播"启发有多强"罢了. 传的广了 ,就泡沫了..

主要就是讽刺那些人的...

还有一点..NOD似乎只把流行范围很大的毒列入库..

在样本区搜索NOD ...  去年的样本现在都不杀..

难道NOD只杀范围性大的病毒..而不杀一些小范围的??

保大局就不管小局了?

hj5abc

晕糊 ...cici不要把 基于运行后的主动防御 又混淆进来 ...

cici584522

原帖由 woai_jolin 于 2008-1-30 13:41 发表

我把原信一起给你发过来 二版把行为判断 虚拟机都归为启发

这里分开说的好... 以免混淆....官方怎么说就让他怎么说去

cici584522

别跑题了...  只说NOD... 昨天那帖跑题跑的自己吃大亏