今天在样本区看到的某些言论，感觉有失偏颇

vipsui

我觉得是数字是文件变化监控，不是检查的后缀，而是检测这个程序的行为和特征码，所以对不能执行的文件可能就放过去了。这种后缀虽然不能执行，但这种文件我感觉应该属于潜在威胁！数字放弃这个除了节省系统资源外，应该是提升扫描速度的！
没有绝对完美的杀毒软件，如果你在信息类企业里面就会发现没有一个杀毒软件能100%预防各种问题，因为系统就是不完美的，如果杀毒机制太严格又会影响系统易用性，所以建立良好的安全习惯，了解病毒的简单预防知识才是必要的，比如未知程序用户放行问题、预防U盘拷贝时的宏病毒、不要接收QQ、邮件的未知附件等等！

2015xxoo

vipsui 发表于 2016-5-12 10:56
我觉得是数字是文件变化监控，不是检查的后缀，而是检测这个程序的行为和特征码，所以对不能执行的文件可能 ...

但是数字的拉黑速度一级棒，国内用户又多，虽然还有白名单，在国内可能唯一能用的国内杀软，还是数字。

paul_guo

不查.VIR文件一点问题都没有啊
这文件没办法调用的

275751198

我吧没说后缀名不对就不查这个事好，它确实是个问题，是个大问题。我每次测精睿包的时候恨不得都要骂一遍。我昨天之所以回帖反驳，是因为那个层主第一说后缀名是EXE就能运行，把不是可执行文件改成EXE是运行不了的。文件恢复到原本的后缀才能正常运行（即对电脑产生危害）。第二他说改了后缀名能报是因为二扫的时候云入库。我已经无数次测试过，断网的情况下也是后缀名检测。最后可能是我的回复让各位产生的误解，在这里非常诚恳的致歉。

HEMM

pkuyzy 发表于 2016-5-12 00:00
说的很有道理啊。。。受教了

这你就受了？万一我是胡说的你不就哭了？
别管他人说什么，以自己的体验为准。你可以当我说的全是废话，俗话说实践出真知，你要对宇宙第一感兴趣就安装，然后用一用，看看适不适合自己。

HEMM

好想用EMSI 发表于 2016-5-12 08:59
为什么我觉得是数字把可执行文件，doc和js脚本都上传到云，其他的不上传……细思极恐啊

用人不疑疑人不用~
有云的那个不上传？大数据时代耶，好坏参半自己看着办。

275751198

pkuyzy 发表于 2016-5-11 23:01
就是说，如果是vir文件的话，因为不是可执行文件，所以不杀，是吗？既然在改后缀名后可以识别为病毒，为 ...

http://bbs.kafan.cn/thread-2040763-1-1.html
实测

275751198

好想用EMSI 发表于 2016-5-12 08:59
为什么我觉得是数字把可执行文件，doc和js脚本都上传到云，其他的不上传……细思极恐啊

这就不错了，原来只上传可执行文件，现在连同脚本文档都上传了。都是根据木马病毒的变化来调整的。

最最早的时候可执行文件病毒是主流，当时有说法认为宏病毒是古董病毒，没有查杀入库的必要。几家国产都拒绝入库，后来病毒在不断更新，包括后来宏病毒，脚本rammit，非可执行文件病毒在短期内出现爆发大范围感染，引发了杀毒软件重视必须要入库查杀。我记得批处理敲竹杠刚出来的时候，整个样本区一片痛骂，说这样的东西入库没有意义。但是它确实给电脑加了开机密码，用户确实损失了。
最近加密勒索木马非常猖獗，从直接通过邮件附件传播，变成了附件里是脚本，用户运行脚本时下载木马。还有最近精睿包一大堆doc，也是通过文档里的VBA宏来下载木马。我的感受，加密勒索经历了从EXE，scr到Zip，再到js和doc的转变。说哪去来着，嗯嗯，跑题了。。。。。。

沧桑浪子

有些.vir的精睿样本其本身是压缩包，所以有时候把.vir打包扫描会扫描出更多