要樣本的快測

sltgr

我的怎么没查到?

Lurkin

划时代意义的出现了
强大的样本~

sam.to

他沒有说是报什么名字，可能他的是报啟發呢

pta30

承認紅傘「靜態分析有問題」就等於承認紅傘「以文件大小報毒」嗎?
還我贏了...快笑死...

Stefan有這樣承認嗎?
Stefan：「Sorry，是我們的錯，我們讓紅傘以文件大小來判斷病毒，只要文件大小為271995byte，都報TR/Agent.271995」?

有BUG、有問題，曉月早已測試發現，發帖同時還附上樣本供其他人共同來驗證、討論
而且曉月認為是BUG，怎麼測試、推論也不會推出「紅傘是以文件大小來判毒」
http://bbs.kafan.cn/thread-293116-1-1.html

kns8028

也许他是要证明他是以一打百的战神张飞[:26:]

报毒啊

心有猛虎

建议锁帖....容易引起口水....

xiaojinglf

奇怪呢。我的小红伞根本没有报任何
而且我打开看了。里面都是文本的ini文件。无任何病毒可言。

xiaojinglf

请大家讨论问题时相互尊重。
我感觉Y一的态度非常认真尽责。
我之所以多原样本和我找到的样本做全面测试。也是为了找出问题。
再次感谢Y一的辛勤。

我测试Y一提供的样本结果如下：
一、我使用了小红伞125版本的病毒库，不论是否解压出来，扫描测试都报毒。报毒版本号和文件大小相同。上传多引擎扫描，很多都报毒，但证明是明显的误报。
二、将这个rar自解压包修改一个字节，不改变文件大小，让它失去winrar自解压特征（注意，不是去掉自解压模块），不再报毒了。
三、修改文件大小，不再报毒。

四、因为我怀疑winrar自解压模块问题，我发现winrar3.7x版本的创建自解压包时被小红伞报其临时文件。到3.8x版本后修复呢这个问题。因此我将该文件解压后，用3.8版本winrar的自解压模块进行打包，文件大小也精确调整到271,995 字节。用小红伞扫描，不再报毒。这个同时匹配了文件大小和自解压模块双重条件。

小红伞升级为130病毒库后，以上误报被修正。

[ 本帖最后由 xiaojinglf 于 2008-9-9 14:19 编辑 ]

jpzy

此文件是是根据文件大小+自解压包两个特征同时存在产生了误报。

那到底是只有这个文件会产生误报呢？还是同样具有大小和自解压两个特征的文件都会误报呢？！