嗅探Microsoft的病毒扫描引擎

驭龙

B100D1E55 发表于 2017-2-10 11:35
有相关来源么

查看WD反病毒引擎的串符就可以了，超级简单


其中蓝框的是特殊启发分析，与其他启发报法不同。

月影天心

B100D1E55 发表于 2017-2-10 11:34
不知道“够用”是什么概念。在我看来日常连cerber之流都防不了的难以称作“够用”，而win10一众安全技术 ...

“够用”，就是在日常使用电脑过程中，基本满足安全需求。
确实，cerber变种更新很快，问题是你日常使用电脑过程中，第一时间就能中新生的变种？其实对于绝大多数第三方杀软而言，应对频繁变种也是难题和巨大挑战，很多都要靠云、靠拉黑，现实往往是，我们日常工作生活中遇到的绝大多数病毒都是靠特征发现的，注意是正常使用电脑，而不是频逛毒区、频试样本，大多数情况下，你在正常使用电脑过程中中的毒，在当前云时代，我敢说几乎都已经入库了，即便运气爆表被0day利用或者被人社工搞了个新样本，估计很多情况下也被拉黑了，还轮不到主防什么事
不要说WD功能残缺，也不要说WD既有引擎技术多么多么局限，微软不可能把WD发展成为功能齐全的世界级杀软品牌，WD永远都是定位于保障基础安全的Basic protection，在Creators Update里，新的WD安全中心里，微软也只是整合了Win10下的各类安全功能，并没有为WD增加额外的新功能，只是在已有引擎技术的基础上不断完善改进，其实近年来微软受制于WD的定位，还是做了很多努力，引擎架构的改良、特征的优化、拉黑大法也好，动静态启发也好，新的UI整合也好，WD的定位不会改变，现在是这样，将来依然如此

B100D1E55

驭龙 发表于 2017-2-10 11:40
查看WD反病毒引擎的串符就可以了，超级简单

我怎么看……都觉得这只是放报毒名的文件啊，并不代表EICAR特征就内嵌在引擎而不是库里。而且单独把EICAR放引擎也没有意义吧

B100D1E55

月影天心 发表于 2017-2-10 11:40
“够用”，就是在日常使用电脑过程中，基本满足安全需求。
确实，cerber变种更新很快，问题是你日常使 ...

当然能啊……你没见过那种指向新变种的动态网页么，靠入库根本堵不住。反过来，就卡饭样本区里都一堆miss了……卡饭分享的样本大多都是已经被捕获的，早就有时差了
其实没什么好争的，我这篇只是客观说明WD这方面做得太糙，并没有兴趣怂恿别人该用什么防护软件，说实话这种东西自己觉得安全觉得高兴就好

驭龙

B100D1E55 发表于 2017-2-10 11:44
我怎么看……都觉得这只是放报毒名的文件啊，并不代表EICAR特征就内嵌在引擎而不是库里。而且单独把EICAR ...

是这样的，WD特征库中并不是没有EICAR，而是进行特殊分类，与引擎中的EICAR遥相呼应

正因为WD把EICAR的部分存储在引擎中，所以它的检测与其他不同。

而其他很多安软的反病毒引擎中并没有类似WD的设计

B100D1E55

驭龙 发表于 2017-2-10 11:50
是这样的，WD特征库中并不是没有EICAR，而是进行特殊分类，与引擎中的EICAR遥相呼应

正因为WD把EICAR ...

其实你这个观点找个shellcode内嵌一下就能验证了，没必要猜……只不过找合适的需要点时间，有空再搞

驭龙

B100D1E55 发表于 2017-2-10 11:51
其实你这个观点找个shellcode内嵌一下就能验证了，没必要猜……只不过找合适的需要点时间，有空再搞

我很懒，所以没有学写代码，哈

当然，期待你后续的测试。

另外我没有别的意思，别介意哦，跟你聊的很开心，现在在卡饭已经很少有这样的好帖了

B100D1E55

驭龙 发表于 2017-2-10 11:54
我很懒，所以没有学写代码，哈

当然，期待你后续的测试。

并不介意，我觉得你提出来的这点还是很值得测试的，有空会求证一下。
无理取闹的质疑我会提前用脑内高启发过滤掉的

驭龙

B100D1E55 发表于 2017-2-10 11:57
并不介意，我觉得你提出来的这点还是很值得测试的，有空会求证一下。
无理取闹的质疑我会提前用脑内高启 ...

那就好，这样的讨论，真的是久违了，很期待继续跟你探讨安全软件技术，我也是业余的，大家相互学习。

这个是WD特征库定义中对EICAR特征的报法，分的非常细

月影天心

驭龙 发表于 2017-2-10 12:01
那就好，这样的讨论，真的是久违了，很期待继续跟你探讨安全软件技术，我也是业余的，大家相互学习。

...

这个从哪里看的？