不是用文件名报毒，而是报双扩展名的加壳文件可疑－－关于所谓“红伞用文件名来报毒”

will

就我个人对楼主的帖子的理解：红伞不单单是根据双扩展名来报的，而是双扩展名和加壳同时具备时才报

而且这个样本的侧重点在壳     :-)    脱壳后的文件无论是否选择检测双扩展名文件  都是不报的

[ 本帖最后由 yimike 于 2008-4-12 09:07 编辑 ]

solid_van

原帖由 yimike 于 2008-4-12 09:03 发表
就我个人对楼主的帖子的理解：红伞不单单是根据双扩展名来报的，而是双扩展名和加壳同时具备时才报

但改成lame.gif或lame.jpg等单扩展名也会报，这符合双扩展名和加壳同时具备的条件吗？
如果代码可疑为什么是lame.exe的时候不报警？

伞兵づ泡泡

原帖由 solid_van 于 2008-4-12 09:08 发表


但改成lame.gif或lame.jpg等单扩展名也会报，这符合双扩展名和加壳同时具备的条件吗？
如果代码可疑为什么是lame.exe的时候不报警？

你的思路也太受限了，显然决定性的因素不是那个“dual extension”，而是高启发，所以，不一定非要双扩展名，只要是“隐藏真实意图的加壳文件”都有可能被红伞启发。你改成gif，岂不是一样隐藏了.exe的真实身份？

红伞通过智能判断，发现这个.gif文件其实是可执行文件，而且还加壳，所以就报警。试想，如果我把一个病毒分成主体+启动两部分，主体部分设置成一个非执行文件，躲避AV的检查；启动部分用来启动主体部分，这样也可以躲过AV的检查。虽然很简单，但是是有效的思路（只是一个思路），但是这样红伞的启发式就能够把主体部分侦测出来

再说红伞的高启发式只能算做一个参考意见吧。

如果你要深究更细的细节，比如为什么这个报那个不报、两个报一个不报，那就恐怕只有深入研究过红伞引擎的人、或者红伞的程序员才能为你解答了……

[ 本帖最后由 伞兵づ泡泡 于 2008-4-12 09:30 编辑 ]

will

这个就不知道了   :-)   
不过我会把此问题反映给官方    听听官方的解答  

[ 本帖最后由 yimike 于 2008-4-12 09:30 编辑 ]

伞兵づ泡泡

呵呵没想到我胡乱一猜，竟果然还有先见之明

原帖由 伞兵づ泡泡 于 2008-4-12 00:25 发表
找个加壳的.exe，然后再改名字，试试呢

hnkaspersky

楼主解释的太好了，少数使用者在使用过程当中，有一点点小问题（自己知识不够），就说小伞怎么怎么样，夸大其词误导用户，其实经过自己测试，我认为小伞是目前常用杀毒软件当中最好的，而且还有免费版本，比国内号称什么什么之流的，真好上百倍。支持红伞。

solid_van

你的解释太牵强了，如果是高启发问题，我的帖子已经说了把启发开到最低也报警。红伞能侦测到改名后文件主体，那在.exe文件时候更应侦测到，文件的结构并没有改变，只是文件名变了。看来只有等官方解释了。
我说这么多并不是要诋毁红伞，既然有问题出现就要清楚什么回事，伞兵们何必慌张？

[ 本帖最后由 solid_van 于 2008-4-12 09:40 编辑 ]

mofunzone

hidden extension并不只是说双扩展名，鸽子可以用txt的扩展名，但是一样可以调用
crypted.e我个人觉得是专门针对加壳exe（文件头判断）文件但是没有使用exe后缀的，具体不是很清楚

solid_van

原帖由 hnkaspersky 于 2008-4-12 09:32 发表
楼主解释的太好了，少数使用者在使用过程当中，有一点点小问题（自己知识不够），就说小伞怎么怎么样，夸大其词误导用户，其实经过自己测试，我认为小伞是目前常用杀毒软件当中最好的，而且还有免费版本，比国内号称 ...

可笑！如果你清楚是什么回事再说别人知识不够，我也认了。可是……你能知道什么？

will

楼主已经在官方论坛上反应了啊  :-)
官方人员不也说是加壳+双扩展名吗？
重要的是官方技术人员说明了报Huer/Crypt.E是启发式引擎，与是否选中扩展威胁类别的Double Extension无关