病毒及恶意软件类型

mikewang

wusiyuanjh 发表于 2018-5-19 21:01
heur是启发报法

就是这样，gen好像是注册机之类，从名字大概可以判断出报毒的类型
heur启发报法，啥意思，是否杀软无法确定是病毒，但行为又可疑？
另，有没有普及heur、gen这种报毒类型的帖子

ATP_synthase

mikewang 发表于 2018-5-19 21:07
就是这样，gen好像是注册机之类，从名字大概可以判断出报毒的类型
heur启发报法，啥意思，是否杀软无法 ...

gen是模糊报法，没有特定分类，注册机应该是Keygen或者patch

2605276004x

wusiyuanjh 发表于 2018-5-19 20:57
要么就是gen之类的，]不过有两个报的vundo，还能查出点东西https://www.symantec.com/securit ...  ...

汗！。。。一直都直接忽视红伞的报法。。。

mikewang

ccboxes 发表于 2018-5-19 21:07
heur=heuristic 启发式

gen=generic 通用、泛用

谢谢
就是想把常见的报毒类型这么准确的看一遍，以后碰见就知道咋回事了
下个破解查杀，至少看得懂查杀结果

ATP_synthase

https://s.threatbook.cn/report/f ... p1_enx86_office2013

https://habo.qq.com/file/showdetail?pk=ADIGb11tB28IP1s9哈勃和微步都报风险

2605276004x

mikewang 发表于 2018-5-19 21:07
就是这样，gen好像是注册机之类，从名字大概可以判断出报毒的类型
heur启发报法，啥意思，是否杀软无法 ...

启发例如卡巴是可以准确报出一些样本的类型。启发的精度有的确切，有的不怎么准，所以误报可能大一点，不能一概而论。图中的启发大部分没有给出准确毒名。例如heur:准确报毒名。一般可以认为是毒。heur:packed，heur:trojan.win32.generic则不一定

mikewang

2605276004x 发表于 2018-5-19 21:21
启发例如卡巴是可以准确报出一些样本的类型。启发的精度有的确切，有的不怎么准，所以误报可能大一点，不 ...

咱们论坛能不能专门开个帖子，讨论下怎么看报毒的类型
比如杀软报这个：heur:trojan.win32.generic，如何理解？
可否这样理解： windows 32环境下，通用型木马，启发式报毒

2605276004x

mikewang 发表于 2018-5-19 21:30
咱们论坛能不能专门开个帖子，讨论下怎么看报毒的类型
比如杀软报这个：heur:trojan.win32.generic，如 ...

可以那样认为。我给你个网址吧：http://www.threatexpert.com/default.aspx

安全守护者

mikewang 发表于 2018-5-19 21:30
咱们论坛能不能专门开个帖子，讨论下怎么看报毒的类型
比如杀软报这个：heur:trojan.win32.generic，如 ...

前缀
1. HEUR（启发特征)
2. HVM（行为沙盒）
3. SVM（脚本行为沙盒）
火绒反病毒引擎对恶意代码采用如下分类：
英文名称 中文名称 定义
Trojan 木马病毒 通过网络或者系统漏洞进入您的系统并隐藏，破坏系统或正常软件的安全性，向外泄露用户的隐私信息。
TrojanDownloader 下载者木马 通过下载其他病毒来间接对系统产生安全威胁，此类木马通常体积较小，并辅以诱惑性的名称和图标诱骗用户使用。
TrojanSpy 盗号木马 此类木马会隐匿在系统中，并伺机盗取各类账号密码，对您造成财产损失。
TrojanDropper 释放器木马 通过释放其他病毒来间接对系统产生安全威胁。
TrojanClicker 点击器木马 在后台通过访问特定网址来“刷流量”，为病毒作者获利，并会占用被感染主机的网络带宽。
TrojanProxy 代{过}{滤}理木马 在被感染主机上设置代{过}{滤}理服务器，黑客可将被感染主机作为网络攻击的跳板，以躲避执法者的网络追踪。
Backdoor 后门病毒 秘密开放用于远程操控的端口和权限，或主动连接黑客的控制端，将被感染主机变为可以被黑客控制的“肉鸡”。
Worm 蠕虫病毒 通过可移动存储设备、网络、漏洞主动进行传播，此类病毒具有很强的扩散性。
Virus 感染型病毒通过感染以寄生的方式将恶意代码附着于正常程序中，并通过被感染的程序进行传播。
Rootkit 内核后门病毒 对操作系统内核进行劫持，通过隐藏其他病毒进程、注册表、文件相关操作等方式与安全软件进行对抗。
Bootkit 引导后门病毒 在操作系统启动前或启动时对操作系统内核进行劫持，通过隐藏其他病毒进程、注册表、文件相关操作等方式与安全软件进行对抗。
OMacro 宏病毒 会感染您计算机上的 OFFICE 系列软件保存的文档，并且通过 OFFICE通用模板进行传播。
DOC 恶意文档 文档中携带恶意代码，或文档结构有潜在被溢出攻击的可能。
Adware 广告程序 广告类灰色软件，不会直接破坏您的系统和文件，但是会弹出广告或
存在欺诈等风险。
Constructor 病毒生成器 病毒作者可以通过此类程序批量生成新的病毒变种，以躲避安全软件
的查杀。
HackTool 黑客工具 可以被黑客利用，用来控制用户计算机或发起网络攻击的工具程序。
VirTool 代码混淆器 通过代码变形、反跟踪、反虚拟机等技术手段，专门被病毒用来与安全软件进行技术对抗的恶意代码类型。
Exploit 漏洞攻击程序 利用软件漏洞进行攻击的恶意代码类型。
Joke 玩笑程序 不存在威胁系统安全的行为，但会通过动作、声音、图像等方式惊吓程序的使用者。
TEST 引擎测试程序 此程序不包含恶意代码，仅用来检验反病毒引擎是否正常工作。

mikewang

安全守护者 发表于 2018-5-19 22:44
前缀
1. HEUR（启发特征)
2. HVM（行为沙盒）

谢谢
你在哪里找到的，有链接么？