是骡子是马拉出来溜溜啊---5000个样本测试杀软，擂台搭建中

显示全部楼层 · 发表于 2016-7-15 16:13:49

风之咩~ 发表于 2016-7-15 16:10
我仅针对不该以后缀来辨别别的深奥东西不懂

后缀辨别和PE头辨别五十步和百步的关系。按照你的思路都可以过没看出优势在哪里。

显示全部楼层 · 发表于 2016-7-15 16:22:23

jefffire 发表于 2016-7-15 16:13
后缀辨别和PE头辨别五十步和百步的关系。按照你的思路都可以过没看出优势在哪里。

能力有限只能以PE头举例我没说就该用PE头来辨别

显示全部楼层 · 发表于 2016-7-15 16:27:45

风之咩~ 发表于 2016-7-15 16:22
能力有限只能以PE头举例我没说就该用PE头来辨别

我也能力有限，所以觉得两者既然都差不多，那就用实现代码简单的，效率高的，好。

显示全部楼层 · 发表于 2016-7-15 17:56:53

你们这群脑控。
吵吵闹闹的一切都因为本人5年前在卡巴论坛说的。如果根据格式排除比后缀名更安全。。

人家随口说一句，而且基于上下文的情境，条件，动机。
但是这群所谓的大神（其实就是脑控）真是逮到蛤蟆钻出团粉，非要闹个大新闻。。

显示全部楼层 · 发表于 2016-7-15 18:28:45

jefffire 发表于 2016-7-15 16:13
后缀辨别和PE头辨别五十步和百步的关系。按照你的思路都可以过没看出优势在哪里。

你说的有道理,但是难度毕竟不一样
createprocess就可以启动一个任何后缀的exe,任何后缀的dll也可以被加载.

你说的内存加载当然也可以,但是难度完全不一样了..

当然了，我的看法还是：从阻止主动点击上来说,根据后缀名是足够了。

显示全部楼层 · 发表于 2016-7-16 02:35:19

风之咩~ 发表于 2016-7-15 16:22
能力有限只能以PE头举例我没说就该用PE头来辨别

你也是对的
从修复的角度，对于已经进入电脑里了，比如有的程序隐蔽的用什么rundll32加载一个xxx.dat启动。。
那么扫描能够扫出来也是有用的

显示全部楼层 · 发表于 2016-7-16 08:12:39

kfsz123 发表于 2016-7-15 18:28
你说的有道理,但是难度毕竟不一样
createprocess就可以启动一个任何后缀的exe,任何后缀的dll也可以被加 ...

有道理，实现难度确实是不一样。

显示全部楼层 · 发表于 2016-7-16 08:15:21

kfsz123 发表于 2016-7-16 02:35
你也是对的
从修复的角度，对于已经进入电脑里了，比如有的程序隐蔽的用什么rundll32加载一个xxx.dat启 ...

还真有只看后缀的急救工具，还是大厂，思路不能理解。
我觉得，产品定位决定技术选择。

显示全部楼层 · 发表于 2016-7-16 08:45:26

小难民发表于 2016-7-14 10:02
900M的样本还是百度盘···帮顶好了··

你是值百度晕的100k下载速度吗？
我那天下载了，因为没有百度晕，所以就直接在那个下载页面先装了百度晕，
然后下载，你猜怎么着，下载速度4.5M/S，我都不敢相信。。。。
等我回家再试，以前装的百度晕，就还是100k的速度了。
家里20M联通，单位50M联通。

显示全部楼层 · 发表于 2016-7-17 12:33:40

本帖最后由 784696777 于 2016-7-17 16:23 编辑

[讨论] 是骡子是马拉出来溜溜啊---5000个样本测试杀软，擂台搭建中