楼主: B100D1E55
收起左侧

[技术原创] 解析启发式杀毒

  [复制链接]
fireherman
发表于 2017-1-2 17:25:34 | 显示全部楼层
本帖最后由 fireherman 于 2017-1-2 18:28 编辑
pal家族 发表于 2017-1-2 17:11
你可以去样本区截几个报毒图的吗?我想看看有a variant of 和没有a variant of 都是怎么说的。





ESET的启发(非高启发)真不知道该怎么……怎么判断;


例1:这个明显就是【入库】

http://bbs.kafan.cn/thread-2071509-1-1.html





例2:这个到底算【入库】还是【启发】?



http://bbs.kafan.cn/thread-2068485-1-1.html



例3:高启发

[mw_shl_code=css,true]未查明的 NewHeur_PE 病毒[/mw_shl_code]

http://bbs.kafan.cn/thread-2068752-1-1.html

例4:拉黑

http://bbs.kafan.cn/thread-2069347-1-1.html




除了高启发外,ESET似乎从来没报过HEUR,我从来没试过。


矛盾:如果例2是【启发】,那么不会出现【未入库】不能查杀这种尴尬局面。但是……它又是一个病毒的变种……应该算启发……

晕了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2017-1-2 17:34:28 | 显示全部楼层
B100D1E55 发表于 2017-1-2 17:20
人不在电脑旁。。具体报毒规则文末写得很清楚

一点都不清楚呀
因为我没有用过eset英文版,我看别人的英文版截图里都有a variant of 。
所以为了求证,才需要知道其他类型的样本报毒的描述都是怎么样的。
pal家族
发表于 2017-1-2 17:35:12 | 显示全部楼层
fireherman 发表于 2017-1-2 17:25



ESET的启发(非高启发)真不知道该怎么……怎么判断;

你这个一会儿中文一会儿英文版的对比不出来啊
fireherman
发表于 2017-1-2 17:52:50 | 显示全部楼层
pal家族 发表于 2017-1-2 17:35
你这个一会儿中文一会儿英文版的对比不出来啊



编辑了,大概就是这样:

报法1:特洛伊木马/蠕虫/不受欢迎的应用程序/.....

报法2:特洛伊木马/蠕虫/不受欢迎的应用程序/..... [的变种]

pal家族
发表于 2017-1-2 17:55:49 | 显示全部楼层
fireherman 发表于 2017-1-2 17:52
编辑了,大概就是这样:

报法1:特洛伊木马/蠕虫/不受欢迎的应用程序/.....

那就明了了!
确实有时候会再一个报毒名后面加上的 的变种。也就是楼主所说的 a  variant of.
sunnyjianna
发表于 2017-1-2 19:48:48 | 显示全部楼层
fireherman 发表于 2017-1-2 17:25



ESET的启发(非高启发)真不知道该怎么……怎么判断;

suspicious object是不是云杀??
ELOHIM
发表于 2017-1-2 20:12:37 | 显示全部楼层

和“野生恶意病毒”相对的是什么病毒呀?
野生病毒是指那些零散的,没有家族的吗?
感谢楼主分享!~
缺缺
发表于 2017-1-2 20:17:53 | 显示全部楼层
我也是一直没看明白怎么区分启发,后面有变种字样其他就是入库?这个报读名称是属于入库还是启发 看不出来,vt 上这个JS就eset干掉了,,,既然都报JS木马下载器了应该不会是误报吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ysj963
发表于 2017-1-2 20:26:24 | 显示全部楼层
fireherman 发表于 2017-1-2 14:45
双击还得开虚拟机……

开虚拟机就算了……

ESET安装不需要netframework吧 ,卡巴好像要,卡巴也挺懒的发现。
fireherman
发表于 2017-1-2 21:08:13 | 显示全部楼层
sunnyjianna 发表于 2017-1-2 19:48
suspicious object是不是云杀??



应该是算的,程序Live Grid信誉(需联网检测)太低,而病毒库没收录,于是拉黑。

@ysj963   你搞错了,我指的不是杀软需不需要.NET,是勒索程序需要.NET才能运行。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:21 , Processed in 0.114795 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表