TR/Crypt.NSPM.Gen

小邪邪

原帖由 闪电战 于 2007-3-11 22:34 发表
描述里面没有说报壳
只是说针对有共同特征的病毒

Antivir对非已知病毒的报告大致分为这4类：
Heuristic/Exploit.HTML (probable variant)
Heuristic/Malware (probable variant)
HEUR/Malware
HEUR/Crypt


其中前2类，是真正的启发式，后两类，极有可能是在报壳。

第一类Heuristic/Exploit.HTML脚本启发比较容易做到，报告率很高，误报率也很高。
第二类Heuristic/Malware属于启发式，Antivir偶有报此。

第三类和第四类是最常见的，量很大，经常可以见到Antivir“启发了”的帖子，进去一看是报告如此。

我觉得报此的，是见壳就报。

以上内容来自于一个对小红伞极有研究的高手
（仅供参考）


另有一位高手说他只要将一份正常的文件加了某种壳，小红伞就会直接报“灰鸽子”，百试百灵

The EQs

原帖由 buycard 于 2007-3-11 22:58 发表
报壳也是有学问的，加GEN就是表示不是乱报壳，而是针对比较少见、偏僻的壳报，或者是某些加密壳。不要见到GEN就以为是启发式。

偶还是很赞同你这句话的。。。偶加了几次壳。。。前几次都是用HEUR/Crypt报。。。但是后来加了仙剑的壳以后直接用TR/Crypt.NSPM.Gen报了。。。。下回去换铁甲看看。

The EQs

偶说加了仙剑的壳以后。。。vba32直接报鸽子。。。。。不是红伞。。。。

小邪邪

我没说是你的，这可是别人做的测试
另一个“报壳王”是CAT-QuickHeal，基本上一个正常文件加个木马常用的壳就报
而Avast对加了特殊壳的也会给报成“灰鸽子”

[ 本帖最后由 小邪邪 于 2007-3-12 01:08 编辑 ]

The EQs

原帖由 小邪邪 于 2007-3-12 01:02 发表
我没说是你的，这可是别人做的测试
另一个“报壳王”是CAT-QuickHeal，基本上一个正常文件加个木马常用的壳就报
而Avast对加了特殊壳的也会给报成“灰鸽子”

刚刚用铁甲试了试。报成HEUR/CRYPTED。。。。看来只有仙剑的壳会这样。。。。而且还需要加几层。。。。

The EQs

Ikarus也会将特殊的壳报成鸽子。。。。服了。。。。。

mofunzone

你们就在这里无聊的加吧
实际上你们加壳之后的文件已经无法运行了，也就是说不会有任何人和软件这么加壳，所以误报不误报对于用户来说完全没有影响，因为电脑上不会出现这么加壳的文件。。
真正有问题的是加壳误报但是还可以运行的文件。。
实际上nod也报好几个壳，类似ntpacker这种的
但是我记得我看过一篇nod英文的介绍说过nod的虚拟机会看文件可不可以运行，如果不可以运行就不会对文件启发什么，估计就是这个原因nod才不会报壳的，实验结果也差不多。。

ly250094040

你老兄MS和各位越走越远了啊

mofunzone

因为事实就是如此，实验也只是实验而已，放到真正的测试中没有意义，根本都无法运行了的文件谁会去这么加壳？
实际上报壳测试这种东西都很无聊，因为实验的结果实际上那群人也都说了无法运行了文件已经，那么有没有误报都没关系，因为除了实验，不会有人去这么加
我相信不会有人无聊到把文件加死了放到网上来偷木马吧。。

7sumetai

其实最搞笑的是那个Virus Buster，经常对着一堆病毒报"No Virus: Packed/NSPM"