近期两点疑问

心情一隅

原帖由 傻猪猪米走鸡 于 2008-5-27 08:52 发表
Imon 能否捕捉到有害代码是跟网页的来源和技术没关系的,但跟下在浏览页面上面内容的端口有关.如果其通过端口的水内容经过SSL加密,则IMON不会发现病毒.
这是我的译文~大家参详下~
另外~s君不是说论坛不用SSL的吗?

原帖由 solcroft 于 2008-5-26 19:33 发表
什么SSL连接，别扯了
第一，论坛用SSL连接根本就是胡说
第二，真的用SSL连接的话，请告诉我其他杀软的网络监控又怎能扫出来

【Imon 能否捕捉到有害代码是跟网页的来源和技术没关系的】，这一句应该指与动静态网页无关；但后一句，……

心情一隅

EQ2：
启发式是针对NT系统以前的病毒

win32是指运行在32位环境下的病毒……
NT系统：
NT:New Technoly(新技术，因比DOS、WIN9X采用了很多新技术而得名)
从WINDOWS2000开始，基本上后面用的都是NT内核的！
WIN2000（NT5.0），WINXP（NT5.1），WIN2003（NT5.2），VISTA（NT6.0）……

The EQs

probably unknown COM.EXE virus [7]
probably unknown TSR.COM.EXE virus [7]
probably a variant of Win95/Cih.1363 virus(TSR.WIN32) [7]
probably unknown TSR.WIN32 virus [7]
a variant of Natas.4826 virus [7]
probably unknown STEALTH.POLY.CRYPT.TUNNEL.TSR.COM.EXE.BOOT virus [7]
a variant of Dir2.Bc virus [7]
probably unknown STEALTH.TUNNEL.TSR.COM.EXE.BOOT virus [7]
a variant of TPVO.3464 virus [7]

这些都是启发式报的。。而并非高级启发。。。看到上面报的你就会明白了

傻猪猪米走鸡

是协议，不是内容，我翻译错了……

“但跟下在浏览页面上面内容的协议有关.如果其通过协议的内容经过SSL加密,则IMON不会发现病毒.”

zwl2828

1：RAR默认是不监控的，需要修改一些东西～这个我不是很清楚

2：启发包括：基因（广谱特征码），虚拟机（动态），代码分析（静态）之类的，所以有时候扫描的时候，会有点卡，就是在用虚拟机启发。

3：我还想知道那次误报的原因，官方很模糊～谢谢

qiao7387

技术问题！不懂不会装懂！
等待技术人才解释！

woai_jolin

不一定的SSL 普通加密有不会scan

diaojf

看看一个绝顶聪明MM的翻译：

imon防护是否监测到恶意代码，与网页资源或技术（PHP，ASP等）无关，但与用于下载的协议有关。如果是任何加密协议的SLL，imon防护就绝不会监测到病毒。请继续关注于此。

貌似论坛下载用了某个加密协议？！！

另外请EQ2大师直接说出结果，老是说到一半，弄得我这样的笨人心里痒痒的。
难道启发式只管以前DOS下的老病毒。

solcroft

论坛用加密协议... 暴汗...
本来样子看起来似乎是技术贴的，怎变成娱乐贴了

心情一隅

原帖由 zwl2828 于 2008-5-27 12:23 发表
1：RAR默认是不监控的，需要修改一些东西～这个我不是很清楚

2：启发包括：基因（广谱特征码），虚拟机（动态），代码分析（静态）之类的，所以有时候扫描的时候，会有点卡，就是在用虚拟机启发。

3：我还想知 ...

谢谢！
对RAR文件，下载到本地硬盘后，ESS默认是不报的（文件系统实时防护）；但对网页RAR文件下载是监控的（web防护）。
关于上次的误报，知道的就这些了：
【该问题的根本原因是由于代码中有问题的部分暴露所致。这不是一个典型的误报，它不同于错误的特征码或启发式引起对一个无毒文件的警报。我可以保证为了防止误报的发生我们在发布升级前确实是做了测试的。而对于这次的情况，警报的触发是由于测试机器环境之间的差异而造成的。（如：一个特定文件的标志位在一个电脑上没有被标记在另一台电脑上）。】