转自nod32club-------nod32的误报以及脱壳能力测试

mofunzone

原帖由 EQ2 于 2007-3-24 13:01 发表
你也只能嘴上说说了。。。自己去加壳看看吧。。。。嘴上说是没用的。。一天到晚说偶嘴上说。。现在是你了。。。

样本发上来呀，我已经说明为什么报壳了，因为是结构判断，而加壳必定会改变结构，所以用你的话是报壳，用我的话就是高效判断病毒
30/51的查杀率记忆犹新呢

Oceanzd

2位如果再这样争论我就锁贴，谢谢合作！

坐在墙头

原帖由 mofunzone 于 2007-3-25 03:06 发表
哈哈哈哈哈
终于看见eq2的文章了
solcroft怎么没来？
一群根本就不理解antivir启发分析的人
antivir是结构和代码分析，少用脱壳的，这就是为什么有这么多crypt的gen
如果eq再用一个非病毒文件测试，估计就不是这个结果了，而非病毒文件加壳被启发出来的问题我已经问过雨伞官方了，他们的回复是，因为作为一个结构分析引擎，多次加壳的文件会被判有结构问题，所以误报会高，不过侦测率也比nod高的多，说真的，杀网马，nod太菜，那次那51个样本就是很好的结论
还有，你的样本呢？对于尸体文件antivir是不会处理的，但是看看有没有活着的误报，上报一下

如果一个杀毒软件把所有文件当成病毒，那么用任何病毒样本来测试它，它都是100%查杀的，不过可惜，权威的测试都是不允许高误报的

287381906

2位如果再这样争论我就锁贴，谢谢合作！

以为这个贴会很火……
开始还好，到后来就……
顶上去，让大家看看，有洁癖的用红伞，不怕马的用NOD 我公司资料重要，用红伞，家里上网习惯好，用NOD

blueskyy

倒是学到了不少的知识。
俺用的是卡8，不过狠关注nod32。。。

godtoo

用XXXXX，你感觉不到他的存在，但是出问题了，你也未必感觉到他的存在，用XXXXX，你偶尔感觉到他的存在，但是出问题了，他一定让你感到他的存在。。

你的人品不行~~连带着你的言论也是很差的

bluenice

用XXXXX，你感觉不到他的存在，但是出问题了，你也未必感觉到他的存在，用XXXXX，你偶尔感觉到他的存在，但是出问题了，他一定让你感到他的存在。。
说这句话的人，RP是有问题。无语……

lbhllp

EQ2, 不知道那些加了多层壳的病毒能否运行?要是不能运行的话NOD32查不到也不奇怪!呵呵,现在用NOD32加个影子系统,看中它不拖系统!

solcroft

原帖由 坐在墙头 于 2007-3-25 08:28 发表
如果一个杀毒软件把所有文件当成病毒，那么用任何病毒样本来测试它，它都是100%查杀的，不过可惜，权威的测试都是不允许高误报的

杀软在权威测试里一较高低，成绩也是有目共睹的
至于这个测试嘛... 就有点... 嗯...

其他的不多说，相信稍微理智些的人都看得出，只想说说一下VirusBuster报壳的课题
前一阵子我用过PC Tools AntiVirus，是一款用了VirusBuster引擎的杀软，结果也时常入VirusBuster一般遇见加壳文件便报了Packed/xxx
官方解释说VirusBuster的确是报壳的
只叫我不明白的一点是为什么VirusBuster报壳了，便能用这一点来推理说红伞也在报壳
红伞和VirusBuster有什么牵连了？
真的十分佩服某人的逻辑推理本领，搞不好接下来的惊人论语便是要说红伞是用VirusBuster的引擎的

The EQs

你在那里说笑吧。。。。。。每个杀软命名病毒都是按照一定规则的。。。蠕虫能命名成木马？？偶是根据nspm来判断的。。。