卡巴的“启发”很呆！

dragonyyy

     下午copy了中华吸血鬼里许多BT功能到自己的gh0st里面，比如closesafepro功能（不是单纯的Taskkill XX process，那样会被卡巴启发到的），host文件免疫安全软件网站功能，禁用安全模式功能等等测试都有效果~~~
     我知道这很肤浅~~但我在不断努力~~
    另外，发现一个疑惑~~比如在XX地方调用某个函数会被卡巴启发，但移到另外一个地方调用(比如在函数里面调用)卡巴就启发不到了···
     现在发现卡巴的启发功能是很“呆”的，比如有个枚举窗体查找关键字的函数，假如调用的话，那么卡巴会启发到heur：trojan.win32.generic，一开始我以为卡巴是杀这个函数的，于是乎发现关键字里面有个process(一般资源管理器或者其他安全工具上会出现)，注释掉，接着编译，大叔不heur了··另外比如有个infectionU函数，因为是感染U盘，默认是新建Autorun.inf文件，结果卡巴报了Worm.Win32.AutoRun.rht ，但是如果在其他函数里面创建线程启动U盘感染卡巴就不报了······     挺有乐子的·····
     预计会加入更多功能的，比如：Active启动，感染rar文件，内网传播，arp传播，映像劫持等等。另外就是要在dll中实现以上功能，以便在主程序自删除之后还有效。
     俺很菜，不懂的地方请各位大牛请教···
   
    另外，我看到有这么一篇帖子：
  { 对于一些更新十分频密的威胁，能有效减少病毒库的大小，一般来讲，相同来源，更新程度十分频密(由一天三次至一小时三次)的威胁大多都是由黑客制作的黑客软件自动生成的，黑客会并定时或不定时放到服务器上。

通用检测(generic detection)的好处是不用一个个上报，只要上报一部分(如30-50个)便能制作到通用检测(generic detection)，把没有上报的文件查杀。
要求卡巴制作的通用检测方法(generic detection)，你要准备：

1.        30-50个相同来源，相同类型的威胁(不论是否已能查杀)
2.        提供威胁的来源(不是提供网盘，是提供黑客存放这些威胁的地方)

把这些文件寄到：
newvirus@kaspersky.com
请使用Generic needed作为信件的标题(这个很重要的)
}
      我觉得很扯淡~~因为真的这样的话，那么风靡一时的灰鸽子不早就灭绝了吗？

[ 本帖最后由 dragonyyy 于 2009-4-8 12:13 编辑 ]

justnow_0713

仅仅一个样本就这样定义

个人觉得有点肤浅了

虽然不用卡巴，但是...

dragonyyy

其实你可以去做个简单的下载者什么的就明白了

syfwxmh

我说楼主您有点常识不，auto.inf有危害吗？即使创建原来的auto函数也不会被调用

syfwxmh

另外有什么扯蛋的，红伞还不是一堆gen

dragonyyy

请你看明白OK？我说的是卡巴！
另外那个Autorun.inf 也不是卡巴heur的，那是卡巴直接报的。

[ 本帖最后由 dragonyyy 于 2009-4-8 11:52 编辑 ]

easybeing

指望着程序胜过病毒分析员？？？

gw2180

确实是很呆很呆

KasperskyLab

发现制毒苗子了, 哈哈哈哈哈

syfwxmh

哈哈，不想和你说什么了，楼主先去了解了解什么是gen再发表评论！