楼主: The EQs
收起左侧

[砖头] TR/Crypt.NSPM.Gen

[复制链接]
小邪邪
发表于 2007-3-12 00:34:47 | 显示全部楼层
原帖由 闪电战 于 2007-3-11 22:34 发表
描述里面没有说报壳
只是说针对有共同特征的病毒

Antivir对非已知病毒的报告大致分为这4类:
Heuristic/Exploit.HTML (probable variant)
Heuristic/Malware (probable variant)
HEUR/Malware
HEUR/Crypt


其中前2类,是真正的启发式,后两类,极有可能是在报壳。

第一类Heuristic/Exploit.HTML脚本启发比较容易做到,报告率很高,误报率也很高。
第二类Heuristic/Malware属于启发式,Antivir偶有报此。

第三类和第四类是最常见的,量很大,经常可以见到Antivir“启发了”的帖子,进去一看是报告如此。

我觉得报此的,是见壳就报。


以上内容来自于一个对小红伞极有研究的高手
(仅供参考)


另有一位高手说他只要将一份正常的文件加了某种壳,小红伞就会直接报“灰鸽子”,百试百灵
The EQs
 楼主| 发表于 2007-3-12 00:54:06 | 显示全部楼层
原帖由 buycard 于 2007-3-11 22:58 发表
报壳也是有学问的,加GEN就是表示不是乱报壳,而是针对比较少见、偏僻的壳报,或者是某些加密壳。不要见到GEN就以为是启发式。

偶还是很赞同你这句话的。。。偶加了几次壳。。。前几次都是用HEUR/Crypt报。。。但是后来加了仙剑的壳以后直接用TR/Crypt.NSPM.Gen报了。。。。下回去换铁甲看看。
The EQs
 楼主| 发表于 2007-3-12 00:55:02 | 显示全部楼层

回复 #31 小邪邪 的帖子

偶说加了仙剑的壳以后。。。vba32直接报鸽子。。。。。不是红伞。。。。
小邪邪
发表于 2007-3-12 01:02:58 | 显示全部楼层
我没说是你的,这可是别人做的测试
另一个“报壳王”是CAT-QuickHeal,基本上一个正常文件加个木马常用的壳就报
而Avast对加了特殊壳的也会给报成“灰鸽子”

[ 本帖最后由 小邪邪 于 2007-3-12 01:08 编辑 ]
The EQs
 楼主| 发表于 2007-3-12 01:10:01 | 显示全部楼层
原帖由 小邪邪 于 2007-3-12 01:02 发表
我没说是你的,这可是别人做的测试
另一个“报壳王”是CAT-QuickHeal,基本上一个正常文件加个木马常用的壳就报
而Avast对加了特殊壳的也会给报成“灰鸽子”

刚刚用铁甲试了试。报成HEUR/CRYPTED。。。。看来只有仙剑的壳会这样。。。。而且还需要加几层。。。。
The EQs
 楼主| 发表于 2007-3-12 01:10:41 | 显示全部楼层
Ikarus也会将特殊的壳报成鸽子。。。。服了。。。。。
mofunzone
发表于 2007-3-12 01:37:29 | 显示全部楼层
你们就在这里无聊的加吧
实际上你们加壳之后的文件已经无法运行了,也就是说不会有任何人和软件这么加壳,所以误报不误报对于用户来说完全没有影响,因为电脑上不会出现这么加壳的文件。。
真正有问题的是加壳误报但是还可以运行的文件。。
实际上nod也报好几个壳,类似ntpacker这种的
但是我记得我看过一篇nod英文的介绍说过nod的虚拟机会看文件可不可以运行,如果不可以运行就不会对文件启发什么,估计就是这个原因nod才不会报壳的,实验结果也差不多。。
ly250094040
发表于 2007-3-12 01:56:20 | 显示全部楼层

回复 #37 mofunzone 的帖子

你老兄MS和各位越走越远了啊
mofunzone
发表于 2007-3-12 02:02:19 | 显示全部楼层
因为事实就是如此,实验也只是实验而已,放到真正的测试中没有意义,根本都无法运行了的文件谁会去这么加壳?
实际上报壳测试这种东西都很无聊,因为实验的结果实际上那群人也都说了无法运行了文件已经,那么有没有误报都没关系,因为除了实验,不会有人去这么加
我相信不会有人无聊到把文件加死了放到网上来偷木马吧。。
7sumetai
发表于 2007-3-12 09:04:41 | 显示全部楼层
其实最搞笑的是那个Virus Buster,经常对着一堆病毒报"No Virus: Packed/NSPM"
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:52 , Processed in 0.087083 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表