0506复查下主防未报的样本，确实很惊人

啊弥陀佛

最近微点区比较有讨论意义的非 微点主防 的 防御率为何降低了，难道微点主防机制存在很大缺陷？答案是否定的，
今天晚上刚好闲来无事，就把微点主防剩余的样本复查了下，结果确实让人感动惊讶。。哈哈。微点再次报了7个样本出来。。
补充：运行环境虚拟机vm，操作系统：xp2   微点版本：当天最新
如图：








其他剩余样本复查后，所出现的情况均跟20100506-BGFBSDFBHS3-3样本一样的。具体如下图：
以 20100506-BGFBSDFBHS3-3 样本为例来说，该样本运行后，既没有创建文件也没有修改注册表，样本程序就自动退出了。具体如下图：


通过微点的 程序的启动日志可以看出程序启动跟退出的具体时间：



哈哈，很是奇怪，样本都是我测试的，为何复查的时候，微点多报警了这么多个；终究原因在于病毒所需的运行环境没有得到满足，以致病毒程序运行后 啥都没做 就立即退出；这些运行环境俺在之前也写了很多，有兴趣的哥们，可以查看下俺之前写的帖子。
所以从这也就延伸出了一个假象，微点主防查杀率低就说明 微点的主防防御有问题？试问下，假如病毒程序运行后 啥都没做 程序就立即退出，你们说这样的病毒有意义吗？个人觉得病毒运行后，他就是要做破坏系统文件、盗窃密码等之类的有害行为，这样的病毒才有意义，才能达到写这个病毒意义所在；再说根据微点的程序行为判断病毒机理来说，程序没有做到病毒的行为，微点是不会报警的，除非微点已有该病毒的特征码。
呵呵。。欢迎大家畅所欲言哈  ，。，。个人理解哪里有误 ，可以提出来探讨哈。

skyl47129

支持楼主
支持微点

simonfour

这就是我几乎不去看样本测试成绩的原因~~~~~

chuibuzou

死样本微点主防怎么可能查出来，所以样本区成绩不能太当真

啊弥陀佛

哥们 谢谢你们三更半夜还来支持我的帖子，倍感激动

红烧大馋豆

我没明白。。。佛给解释一下
环境发什么什么改变了，为什么最后又报了7个。。。
那昨天的成绩
剩余样本：
0100506-bgfbsdfbhs4-3.exe
20100506-bgfbsdfbhs1-3.exe
20100506-bgfbsdfbhs1-9.exe
20100506-bgfbsdfbhs2-4.exe
20100506-bgfbsdfbhs3-7.exe
20100506-bgfbsdfbhs3-8.exe
是否应该T出？

fengliuyedao

我也来支持下佛爷

啊弥陀佛

我没明白。。。佛给解释一下
环境发什么什么改变了，为什么最后又报了7个。。。
那昨天的成绩
剩余 ...
红烧大馋豆 发表于 2010-5-7 07:55

呵呵，俺把剩余样本放在虚拟机测试了，结果就多报了
可以T出吗？

红烧大馋豆

回复 8# 啊弥陀佛


这个你决定吧，毕竟你对测主防比较熟悉，按照原来的测试方法
http://bbs.kafan.cn/viewthread.php?tid=296626
来确定吧~


另外，你看看为啥咱俩1号的杀毒成绩不相同？剩余样本出入比较大
http://bbs.kafan.cn/thread-689682-1-1.html

112112

哈哈 建议大馋猫实机测试