关于病毒大小问题

显示全部楼层 · 发表于 2009-7-23 12:56:15

FakeAV通常都很大
现在的病毒都很强大
很多病毒都是把代码加到其它程序里的
如果你运行这类程序（很多时候大于10MB，比如非官方QQ有时就有木马），它并不需要把本体释放，可以直接随着此程序的运行而运行（有时先执行，有时候执行），在这样的情况下，安全就得不到保障
还有，小文件通常碎片较多（整块的都留给了大文件），较零碎，读写起来还不如把所有的文件扫描的效率高，而且长期突发性读写小文件（比如待机时恢复，进入小文件与大文件混合文件夹）会造成硬盘的硬件性损伤，所以说这样并不好

显示全部楼层 · 发表于 2009-7-23 13:00:13

加壳是把体积减小
用UPX加壳试试，文件体积会减小

显示全部楼层 · 发表于 2009-7-23 13:01:39

原帖由 Dirk 于 2009-7-23 12:36 发表
如果一开始安软检测不出来，等升级可以查杀后，已经感染了大于1M的文件
那时候是否不监控已经被感染的文件呢？

那时候av能开着就不错了。

显示全部楼层 · 发表于 2009-7-23 13:02:12

原帖由 zqx1114 于 2009-7-23 12:46 发表
还有呢，一些病毒加N多的壳就超过那么大了把

会把可执行文件加死倒是真的。

显示全部楼层 · 发表于 2009-7-23 13:08:29

原帖由 gzy_hao 于 2009-7-23 12:56 发表
FakeAV通常都很大
现在的病毒都很强大
很多病毒都是把代码加到其它程序里的
如果你运行这类程序（很多时候大于10MB，比如非官方QQ有时就有木马），它并不需要把本体释放，可以直接随着此程序的运行而运行（有时先 ...

能否提供一个样本？

显示全部楼层 · 发表于 2009-7-23 15:05:35

LZ结论太绝对了

显示全部楼层 · 发表于 2009-7-23 18:14:57

楼主这么说是不对的，比如说有些文件是会合成到其他文件里去的，所以不能这么片面。还是要小心的。

显示全部楼层 · 发表于 2009-7-23 19:15:25

9494 带有病毒安装包…… 还有万一一个踩菜黑客做了一个1GB的木马擦……

显示全部楼层 · 发表于 2009-7-23 19:17:02

感染型病毒。。
并不是压缩的。。。
而是直接改头文件。。。

显示全部楼层 · 发表于 2009-7-23 19:21:08

你去样本区有fakeav的更新帖，现在是龙卷风版本，每个包都很大

[已解决] 关于病毒大小问题

回复 10楼 zqx1114 的帖子

回复 15楼 jhtl 的帖子