关于报壳的一些疑问

a27573

ESET是不是关掉可疑应用程序检测就不报壳了？
如果是，原本报壳的程序如果确实是恶意软件会报毒吗？

桑德尔

第一个不好说，所以第二个也没法回答，但是有一点是确定的，有很多本来不被eset报毒的样本，作者自作聪明加了个壳之后壳被杀了

a27573

关键是，ESET是否报壳之后就不对样本进行分析了
这样会有安全隐患啊

欧阳宣

eset报的壳一般都是和恶意软件联系比较紧密的壳 壳有很多种 不是说见到壳就无脑报

而且关PUP检测怎么可能就放行所有壳呢 这两个完全是两码事啊

a27573

欧阳宣 发表于 2019-1-31 22:41
eset报的壳一般都是和恶意软件联系比较紧密的壳 壳有很多种 不是说见到壳就无脑报

而且关PUP检测怎么可 ...

emm
抱歉我的表达能力不太好
ESET有三个选项
潜在不受欢迎
潜在不安全
可疑应用程序
帮助里也详细解释了
你说的PUP应该是潜在不受欢迎
可疑应用程序就是关于壳的
我以前的经验似乎是关掉不报一部分带壳程序
但具体记不清了
所以来这里讨论一下
还有，我说的壳都是指VMP一类的可以用来免杀和增加分析难度的壳

欧阳宣

a27573 发表于 2019-1-31 22:47
emm
抱歉我的表达能力不太好
ESET有三个选项

我印象里只有潜在不受欢迎和潜在不安全是可开可关的

是我的话我会全部打开 出现误报再去排除

a27573

欧阳宣 发表于 2019-1-31 22:55
我印象里只有潜在不受欢迎和潜在不安全是可开可关的

是我的话我会全部打开 出现误报再去排除

ESET12.0.31.0
看过是有的
主要是，如果某软件告诉你可能会报壳（如PC Hunter），让你添加排除，你怎么办？
不要和我说自己判断
用杀软就是为了帮忙判断

使用误报率高的杀软容易被社工就是这个道理

所以我觉得报壳后在分析一下是有必要的
至少把确定带毒的程序加上准确报毒名

一般软件是不会加壳的，即使加了也有数字签名
主要是ARK、PE这类工具经常加壳
我学编程偶尔要用到这些工具，但对逆向工程方面只懂一点，无法手工判断

欧阳宣

a27573 发表于 2019-1-31 22:57
ESET12.0.31.0
看过是有的
主要是，如果某软件告诉你可能会报壳（如PC Hunter），让你添加排除，你怎么 ...

那现在你的情况是又不想自己判断 或者说没有自己判断的知识水平 杀软帮你判断你又不信 那神仙也难救了

自己判断误报的依据主要也就看看报毒名 eset的报毒名算很明确了

口气这么冲感觉也不是想讨论下去 那你自己开心就好

a27573

欧阳宣 发表于 2019-1-31 23:21
那现在你的情况是又不想自己判断 或者说没有自己判断的知识水平 杀软帮你判断你又不信 那神仙也难救了

...

好吧
我自己没感觉口气有多冲
对不起，我尽量改改

我只是想问一下ESET的处理策略
报壳后还会不会再分析
如果还会在分析并加上准确报毒名的话
我可以放心地关掉这个选项
这样对安全性的牺牲不大
如果自己胡乱加排除的话（对于我来说）可能会更不安全
我对ESET还是比较相信的，有准确报毒名的文件我都删除了，因为ESET的准确报毒名（包括各种变种）我还没见过误报

主要是以前在论坛里看见很多自制样本报壳
我就来问一下
毕竟很多白文件也报壳

上面说的这些软件我基本都是从卡饭、吾爱这样比较有保障的地方下载的
但是以防万一嘛

谢谢

www-tekeze

a27573 发表于 2019-1-31 23:37
好吧
我自己没感觉口气有多冲
对不起，我尽量改改

对于报Packed、潜在不受欢迎、不安全的，建议传到VT上去看看，别家报法如何，还有微步云沙箱、哈勃看下行为。。。
想得到更准确的，只能是人工分析，可以传上来请火绒或智量官人帮你分析下。。