近期两点疑问

心情一隅

最近看到有关以下两个方面的讨论帖，把它们整合在一起，结合自己想法和其他ESET朋友的观点。希望东海林将司, 傻猪猪米走鸡，woai_jolin版主，EQ2，diaojf，波波，祭.. 夏以及ESET朋友给予解疑……

什么从论坛下载RAR病毒样本，WEB防护不报警

直接复制原文（作者：diaojf）：
在“WEB访问防护”的“ThreatSense 引擎参数设置”中，已经将“压缩文件”选中，“高级启发”选中，并且IE在主动模式下，按道理来说，IE不管从哪下载RAR病毒样本，都应该被ekrn扫描到，并弹窗报警。
可是测试多次，发现只要从论坛下载，ekrn均放过，病毒包成功保存到硬盘。
可是，将RAR病毒包传到静态网站上，再用IE下载，ekrn肯定弹窗报警。
研究多天，不得要领，请官论高手指点一下。

注意，这里只谈论“WEB访问防护”，不涉及“文件系统实时防护”，我也知道“文件系统实时防护”默认不扫描RAR压缩包，而且可以修改注册表开启这个功能。

我更近一步来测试：
我将*.RAR加入“黑名单”，按理来说，就不可能从网上下载任何RAR文件，但实际情况是，只要此RAR文件在论坛上，均可顺利下载到硬盘。

看起来好象动态页面的网站出现此类问题，静态页面网站可以被ESS截获，这个是不是ESS一个重要缺陷呢？

测试样本在样本区
链接地址：http://bbs.kafan.cn/viewthread.php?tid=255747&extra=page%3D1%26amp%3Bfilter%3Dtype%26amp%3Btypeid%3D39

相关回复：

EQ2：
It's not a bug,it depends on SSL
SP1：修正错误

diaojf：
谢谢EQ2.
那就是说论坛下载附件时，我的计算机和服务器传输的数据是经过SSL加密处理的，但ESS无法解密，就出现这种奇怪的情况？
另外，SP1：修正错误是指IE sp1吗？

病毒库、启发式和高级启发式的关系

病毒库：3132(20080526)
样本总数：184
样本下载地址：Kafan VirList [2008.05.25]

病毒库	启发式扫描	病毒库+启发式扫描	病毒库+高级启发式扫描	启发式扫描+高级启发式扫描	病毒库+启发式扫描+高级启发式扫描
12	0	12	142	132	142

从该样本的测试来看，启发式扫描没起任何作用。

启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”，是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被成为动态虚拟机。

静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别，通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。

静态启发式就是通过简单的反编译，在不运行病毒程序的情况下，核对病毒头静态指令从而确定病毒的一种技术。

动态启发式通过杀软内置的虚拟机技术，给病毒构建一个仿真的运行环境，诱使病毒在杀软的模拟缓冲区中运行，如运行过程中检测到可疑的动作，则判定为危险程序并进行拦截。这种方法更有助于识别未知病毒，对加壳病毒依然有效，但如果控制得不好，会出现较多误报的情况。

ESET NOD32通过实时分析应用软件的执行过程来判断是否存在恶意企图，可以提前地侦测并拦截病毒威胁。


从上图可看出，高级启发式包括：基因码、代码分析（静态启发）、虚拟机（动态启发）。如此，那启发式扫描又是什么呢？其又起什么作用？

相关回答：

diaojf（精睿.网络安全【bdrdc】）：

【我记得听谁说过，那个启发式针对于宏病毒的。】

千堆栈（ESET NOD32中国官方论坛版主）：

【1、作为一个整体，ESS的各个部分必须以整体的面目出现才能起效。
2、作为组成部分，ESS的各个组分的功能和适用场合都不同。
3、所谓的“适用场合”，有这么几个因素：文件类型、检测机制。】
--ESS各个组分的功能都适用那些场合呢？

【IMON的启发式会对网页代码报告，因此只要页面包含恶意代码，就会报告】

[ 本帖最后由 hanyu6382 于 2008-5-26 23:38 编辑 ]

心情一隅

动态网页是与静态网页相对应的，也就是说，网页 URL的后缀不是.htm、.html、.shtml、.xml等静态网页的常见形式，而是以.asp、.jsp、.php、.perl、.cgi等形式为后缀，并且在动态网页网址中有一个标志性的符号——“?”，如有这样一个动态网页的地址为:http://www.pagehome.cn/ip/index.asp?id=1

　　这就是一个典型的动态网页URL形式。

　　这里说的动态网页，与网页上的各种动画、滚动字幕等视觉上的“动态效果”没有直接关系，动态网页也可以是纯文字内容的，也可以是包含各种动画的内容，这些只是网页具体内容的表现形式，无论网页是否具有动态效果，采用动态网站技术生成的网页都称为动态网页。

　　从网站浏览者的角度来看，无论是动态网页还是静态网页，都可以展示基本的文字和图片信息，但从网站开发、管理、维护的角度来看就有很大的差别。网络营销教学网站将动态网页的一般特点简要归纳如下:

　　(1)动态网页以数据库技术为基础，可以大大降低网站维护的工作量;

　　(2)采用动态网页技术的网站可以实现更多的功能，如用户注册、用户登录、在线调查、用户管理、订单管理等等;

　　(3)动态网页实际上并不是独立存在于服务器上的网页文件，只有当用户请求时服务器才返回一个完整的网页;

　　(4)动态网页中的“?”对搜索引擎检索存在一定的问题，搜索引擎一般不可能从一个网站的数据库中访问全部网页，或者出于技术方面的考虑，搜索蜘蛛不去抓取网址中“?”后面的内容，因此采用动态网页的网站在进行搜索引擎推广时需要做一定的技术处理才能适应搜索引擎的要求。

woai_jolin

我更近一步来测试：
我将*.RAR加入“黑名单”，按理来说，就不可能从网上下载任何RAR文件，但实际情况是，只要此RAR文件在论坛上，均可顺利下载到硬盘。

ess or eav 的黑名单 拦截HTTP的下载
举例
论坛下载地址：http://bbs.kafan.cn/attachment.php?aid=269565&k=953aaa67d2d1cd5e41069d4311c42e41&t=1211780479
后戳名不是rar  论坛上下载进行过加密 而某些网站下载没有进行加密 over

[ 本帖最后由 woai_jolin 于 2008-5-26 13:45 编辑 ]

woai_jolin

启发和高级启发的区别 MS只有eset的人知道吧

心情一隅

论坛上下载进行过加密 而某些网站下载没有进行加密

那就是ESS无法对加密的数据进行扫描，所以没有拦截。
不单单rar文件，只要是网站上进行了加密，不管什么类型文件，http监控都无法扫描……
明白了！
多谢woai_jolin 版。

diaojf：
那就是说论坛下载附件时，我的计算机和服务器传输的数据是经过SSL加密处理的，但ESS无法解密，就出现这种奇怪的情况？

[ 本帖最后由 hanyu6382 于 2008-5-26 14:18 编辑 ]

心情一隅

我更近一步来测试：
我将*.RAR加入“黑名单”，按理来说，就不可能从网上下载任何RAR文件，但实际情况是，只要此RAR文件在论坛上，均可顺利下载到硬盘。

ess or eav 的黑名单 拦截HTTP的下载

其实通过在黑名单添加*.rar，是可以对rar文件进行拦截的（不一定得http地址）。如图：


但正如diaojf兄所说，在论坛下载rar附件时，不进行拦截。

[ 本帖最后由 hanyu6382 于 2008-5-26 15:01 编辑 ]

woai_jolin

看ESET给出的解释 明天有时间从新装回ESS 就好解释了 o(∩_∩)o...

[ 本帖最后由 woai_jolin 于 2008-5-26 15:06 编辑 ]

心情一隅

原帖由 woai_jolin 于 2008-5-26 15:05 发表
看ESET给出的解释 明天有时间从新装回ESS 就好解释了 o(∩_∩)o...

呵呵，好的。期待！

diaojf

原帖由 woai_jolin 于 2008-5-26 13:39 发表

ess or eav 的黑名单 拦截HTTP的下载
举例
论坛下载地址：http://bbs.kafan.cn/attachment.php?aid=269565&k=953aaa67d2d1cd5e41069d4311c42e41&t=1211780479
后戳名不是rar  论坛上下载进行过加密 而某 ...

多谢解答，看来EQ2的答复很正确。就是"SP1：修正错误"不明白啥意思？

It's not a bug,it depends on SSL
SP1：修正错误

gh-satan

我没选保存路径前就报了