AjLL 打造属于自己的本地多引擎扫描不再是奢侈的梦想 【0.094.401 – 06/18/2009】

jayhm1

蛮新鲜的东西！支持楼主的创新……很不错啊

tun

再顶一下
今天心血来潮加上 Dr.Web 和 Panda
Panda 的 csv format Report 让我想很久不知道要怎么写配置才能显示出结果。
范例：
旧版CLS输出
[ Tue Jun 16 22:50:19 2009 ] Suspicious file        C:\Scan\0.exe
[ Tue Jun 16 22:50:19 2009 ] EICAR-AV-TEST-FILE     in C:\Scan\eicar.com
[ Tue Jun 16 22:50:19 2009 ] Trj/Lineage.BZE        in C:\Scan\hello.com!mal[2.sfx.exe][2.exe]
新版CLS输出
Tue Jun 16 22:51:06 2009;C:\Scan\0.exe;;;0;Ignore;Ignored;Suspicious file;;
Tue Jun 16 22:51:06 2009;C:\Scan\eicar.com;;EICAR-AV-TEST-FILE;55172;Ignore;Ignored;;;
Tue Jun 16 22:51:06 2009;C:\Scan\hello.com!mal[2.sfx.exe][2.exe];2.exe;Trj/Lineage.BZE;1330243;Ignore;Ignored;;;
只好换成旧版的比较方便

说到侦测比，某些引擎的CLS不容易算实际文件数，
希望 AjLL 可以帮忙自动统计文件数，然后计算各引擎的侦测量与侦测率

我太贪心了谢谢

jimmyleo

panda新版的是否可通过改变参数以达到符合我们前后缀抓取的效果呢？
如果本身参数无法做到精简报告的话，就只有在AjLL方面做出处理。
ToDo List中包含了字符串处理的究级神器：正则式，呵呵~~还没写相关的模块。
当然对使用者的要求也就更上一个层次了。对于前后缀无法搞定的第几个分号内的字符串应该是很容易能取出的。

侦测比就是我前面提到在接下来的工作中会想办法显示在result中，
侦测与否的判断，就是取该引擎扫描出该文件的第一个特征：
例如A文件，解压出B、C文件，报为E、F特征。
即 A.exe\[B.exe] ---Troj.E Malware
     A.exe\[C.exe] --- Troj.F Malware
而设置的前后缀为---、Malware

即取第一个特征所取到的第一个报法为准 取A.exe --- Troj.E
而在引擎扫描过后，AjLL会有一个遍历过程，就是以现在的实体文件为个数。即统计A而不统计B、C。

然后就是侦测数/实体文件总数=侦测率

嘎嘎 大致就是这样~~

huihui458

有时间试试，看起来感觉不错

tun

再顶

发现引擎超过 20 个运行会出错：
Run-time error '481':
Invalid picture

xdsn

這麼好的東西 也要大家多多支持吧

fzz8848

支持阿米

andylau

原帖由 tun 于 2009-6-17 12:54 发表
再顶

发现引擎超过 20 个运行会出错：
Run-time error '481':
Invalid picture

這個和引擎超不超過20個應該沒關係


應該是你的圖片指定上出錯，比如path錯了，又或者沒有圖片的bmp在等等

[ 本帖最后由 andylau 于 2009-6-17 14:57 编辑 ]

andylau

原帖由 tun 于 2009-6-16 22:57 发表
再顶一下
今天心血来潮加上 Dr.Web 和 Panda
Panda 的 csv format Report 让我想很久不知道要怎么写配置才能显示出结果。
范例：
旧版CLS输出
[ Tue Jun 16 22:50:19 2009 ] Suspicious file        C: ...

PANDA 看上去好像很複雜，但其實只要細心留意，就會發現一些特定的規律

例如 :

1. Ignored; 和 file;;

2. ;; 和 ;

3. %FileToScan%; 和 ;

[ 本帖最后由 andylau 于 2009-6-17 15:02 编辑 ]

xdsn

感谢高手！学习了！