强烈驳斥说红伞乱报壳的说法

闪电战

我倒是希望把病毒僵尸也拖出来，系统干干净净最好

solcroft

原帖由 闪电战 于 2007-3-15 12:38 发表
我倒是希望把病毒僵尸也拖出来，系统干干净净最好

僵尸又怎会自己在你电脑出现？
也不是你自己下载的？自己删掉不就行了？

mofunzone

他这种测试实际上面没意义
因为在真正的测试中例如avc和vb都不会使用无效病毒，只会使用自己编写的文件来测试，至少保证其可运行性
而且雨伞的分析已经说过不是脱壳分析，是代码分析，只要是病毒不管怎么加壳不能改变一些代码的特性，所以依然可以识别
楼上的不了解雨伞的技术罢了，可以去官方搜索以下heur/malware看以下官方对于自己AHeAD技术的解说

曲中求

看到这里我都累了，那天EQ2的帖子，我跟了一帖来解释红伞报这个HEUR/Crypted的问题。看来没有多少朋友看懂。那天我以为此问题到此就结束了。哎！我现在再把那个跟帖截上来和大家说明一下情况吧，我对各个杀软是怎样一个态度，大家心里都明白，说正题吧：

HEUR/Crypted


HEUR/Crypted is a heuristic detection routine designed to detect common malware characteristics. Avira AntiVir recognizes unknown malware proactively using its AHeAD technology. To achieve this, Avira performs innovative structural analyzing.

On the basis of the composition of a file, the sequence of significant code sequences or based on particular behavior patterns, the heuristics can determine with a high probability whether it is dealing with a harmful or virulent file.

HEUR/Crypted in particular signals files that have a suspicious structure of the program. Usually such files are protected by encryption mechanisms and are often manipulated afterwards to hide the real functionality.

Please note that cracks or the cracked program files themselves as well as key generators are often modified with similar techniques. Therefore Avira AntiVir's AHeAD heuristics may detect such files as well. The user should keep in mind that trojans are often disguised as such software.

In the unlikely occurrence of a false positive we would kindly ask for your help, by sending the file to our virus lab.

我们主要要看是我标注的蓝色和红色字体内容，蓝色单词为关键词，红色够句子为关键句子。从官方的文件可以看到，红伞会对具有加密技术并隐藏其真正功能的程序会报HEUR/Crypted，HEUR/Crypted是什么？前面已经说了，它是运用AHeAD技术来针对侦查未知恶意程序的。由于一些破解程序和注册机也会运用类似的技术，所以有些也会报，注意，不是所有的都报，只有部分运用了这种类似技术的才报的，如果不相信我的话，我可以对破解程序和注册机各提供样本。而官方之所以这样做，很重要的一个原因，请注意这句话：“ The user should keep in mind that trojans are often disguised as such software”.有几点我们得清楚，一是国外网络环境和国内网络环境的差距，二是破解程序和注册机的风险。三一个，德国人是严谨出名的。所以针对此问题，在一些国外环境使用不会出现很大的问题。一些报和一些不报是因为“类似技术”的问题，如果破解程序和注册机有类似的技术修改而成，则有可能存在风险，如果破解程序和注册机不报，那么应该来说相对安全。这样做的好处在于，在安全性上，可以做到最大的安全性，因为就算脱壳能力很强的杀软，也会加得你有不认识的时候，而红伞这个时候不管你怎么加，可以运用某人形容卡巴的那句话：是你是你还是你！你只要加密隐藏运行我就报你！管你加几层！缺点也很明显，这个就是大家看到的，因为严谨，所以会对一些正常的并运用了“类似技术”的正常程序报，那么负面影响就出来了，当然，这个影响的度，要根据使用环境来定。

我的观点来说，见壳就报的概念值得商榷，因为类似的技术并不一定就是壳，另一方面，的确是见壳就报。另一方面，红伞目前的引擎以及启发和一些细节还需改进，这个的确又是事实，希望各位朋友不要出现针对性的发现的优点和缺点就像发现新大陆一样，这些东西在官方都可以查到，保持尽量客观和冷静的思维来发现相对成熟一点的观点，针对这个问题，优点和缺点我都说了，凡事就是这样，看到缺点的同时也要看到优点，反之依然。

针对注册机和破解程序报HEUR/Crypted的问题，我最后补充一点，并非主要是因为版权问题，而主要是AHeAD技术设计理念以及工作原理问题。over

kfanty

谢谢大家，学到很多！

The EQs

原帖由 曲中求 于 2007-3-15 13:11 发表
看到这里我都累了，那天EQ2的帖子，我跟了一帖来解释红伞报这个HEUR/Crypted的问题。看来没有多少朋友看懂。那天我以为此问题到此就结束了。哎！我现在再把那个跟帖截上来和大家说明一下情况吧，我对各个杀软是 ...

但是一个正常文件加北斗就报HEUR/Crypted（现在是报蠕虫了）。。。那么偶只能说这个是报壳。。无别的含义。。。而且对加了一层北斗的病毒红伞是报HEUR/Malware的。。。像卡巴和蜘蛛等都是直接报具体的病毒名的。。你继续往上加。。它还是报HEUR/Malware。。。不得不让偶对红伞的能力产生怀疑。。。

The EQs

而且偶试过了。。。只要是没有内核保护的文件。。。加了北斗后都会直接报HEUR/Crypted

曲中求

我都在帖子里解释过了，如果你加壳，红伞如果报是正常的。百密而无一疏！这是报这个概念的定义。

The EQs

如果这个都算的话。。。那偶就无话可说了。。。。那么virusbuster也是很强的一款杀软。。。

曲中求

EQ2同志，其实早就应该这样了。