12
返回列表 发新帖
楼主: 欠妳緈諨
收起左侧

[讨论] 也谈红伞的报壳

[复制链接]
jlennon
头像被屏蔽
发表于 2007-3-13 13:28:51 | 显示全部楼层
嗯,这个还是经过严谨的测试再说吧。
di1001
发表于 2007-3-15 10:36:06 | 显示全部楼层
好端端的东西,加个壳来干嘛?
287381906
头像被屏蔽
发表于 2007-3-15 12:52:31 | 显示全部楼层
EQ为何不用UPX试试?这个是免费算法的,没有不脱的道理……
SO……如果红伞能认出UPX壳的原形就说明红伞是具有脱壳能力的,反之亦然……
solcroft
发表于 2007-3-15 12:57:26 | 显示全部楼层
原帖由 287381906 于 2007-3-15 12:52 发表
  EQ为何不用UPX试试?这个是免费算法的,没有不脱的道理……
SO……如果红伞能认出UPX壳的原形就说明红伞是具有脱壳能力的,反之亦然……
  

问题是你要怎么确定是红伞脱壳杀毒,还是带壳入库呢?
cxcx3
发表于 2007-3-15 13:22:20 | 显示全部楼层
引用曲版的解答  请不要怀疑红伞的能力

看到这里我都累了,那天EQ2的帖子,我跟了一帖来解释红伞报这个HEUR/Crypted的问题。看来没有多少朋友看懂。那天我以为此问题到此就结束了。哎!我现在再把那个跟帖截上来和大家说明一下情况吧,我对各个杀软是怎样一个态度,大家心里都明白,说正题吧:

HEUR/Crypted


HEUR/Crypted is a heuristic detection routine designed to detect common malware characteristics. Avira AntiVir recognizes unknown malware proactively using its AHeAD technology. To achieve this, Avira performs innovative structural analyzing.

On the basis of the composition of a file, the sequence of significant code sequences or based on particular behavior patterns, the heuristics can determine with a high probability whether it is dealing with a harmful or virulent file.

HEUR/Crypted in particular signals files that have a suspicious structure of the program. Usually such files are protected by encryption mechanisms and are often manipulated afterwards to hide the real functionality.

Please note that cracks or the cracked program files themselves as well as key generators are often modified with similar techniques. Therefore Avira AntiVir's AHeAD heuristics may detect such files as well. The user should keep in mind that trojans are often disguised as such software.

In the unlikely occurrence of a false positive we would kindly ask for your help, by sending the file to our virus lab.


我们主要要看是我标注的蓝色和红色字体内容,蓝色单词为关键词,红色够句子为关键句子。从官方的文件可以看到,红伞会对具有加密技术并隐藏其真正功能的程序会报HEUR/Crypted,HEUR/Crypted是什么?前面已经说了,它是运用AHeAD技术来针对侦查未知恶意程序的。由于一些破解程序和注册机也会运用类似的技术,所以有些也会报,注意,不是所有的都报,只有部分运用了这种类似技术的才报的,如果不相信我的话,我可以对破解程序和注册机各提供样本。而官方之所以这样做,很重要的一个原因,请注意这句话:“ The user should keep in mind that trojans are often disguised as such software”.有几点我们得清楚,一是国外网络环境和国内网络环境的差距,二是破解程序和注册机的风险。三一个,德国人是严谨出名的。所以针对此问题,在一些国外环境使用不会出现很大的问题。一些报和一些不报是因为“类似技术”的问题,如果破解程序和注册机有类似的技术修改而成,则有可能存在风险,如果破解程序和注册机不报,那么应该来说相对安全。这样做的好处在于,在安全性上,可以做到最大的安全性,因为就算脱壳能力很强的杀软,也会加得你有不认识的时候,而红伞这个时候不管你怎么加,可以运用某人形容卡巴的那句话:是你是你还是你!你只要加密隐藏运行我就报你!管你加几层!缺点也很明显,这个就是大家看到的,因为严谨,所以会对一些正常的并运用了“类似技术”的正常程序报,那么负面影响就出来了,当然,这个影响的度,要根据使用环境来定。

我的观点来说,见壳就报的概念值得商榷,因为类似的技术并不一定就是壳,另一方面,的确是见壳就报。另一方面,红伞目前的引擎以及启发和一些细节还需改进,这个的确又是事实,希望各位朋友不要出现针对性的发现的优点和缺点就像发现新大陆一样,这些东西在官方都可以查到,保持尽量客观和冷静的思维来发现相对成熟一点的观点,针对这个问题,优点和缺点我都说了,凡事就是这样,看到缺点的同时也要看到优点,反之依然。

针对注册机和破解程序报HEUR/Crypted的问题,我最后补充一点,并非主要是因为版权问题,而主要是AHeAD技术设计理念以及工作原理问题。over

[ 本帖最后由 cxcx3 于 2007-3-15 13:23 编辑 ]
287381906
头像被屏蔽
发表于 2007-3-15 15:10:07 | 显示全部楼层
问题是你要怎么确定是红伞脱壳杀毒,还是带壳入库呢?


在无恶意行为文件上加UPX,看报不……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 11:45 , Processed in 0.088065 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表