目前来说，ESS的实力不比2。7好太多

显示全部楼层 · 发表于 2007-4-7 16:44:54

原帖由 曲中求 于 2007-4-7 00:38 发表

我只能说，你没有仔细看帖子。

那就麻烦你来做吧

我已经给雨伞做了半年的免杀了，但是我不会吧那些样本发到论坛上来
为什么雨伞三代和二代检测率上有这么大的区别就是因为我们天天有针对的对雨伞做免杀
我们免杀，雨伞来改进引擎，增加基因启发
目的就是为了以后雨伞能更加适应中国的国情，现在看来，很成功
而且貌似雨伞公司也注意到这点了，可能要出中文版来切中国这块蛋糕了。。
等雨伞来中国，误报问题势必得到解决，就像雨伞误报的大部分是中文“小”软件，而不是英文软件这样
毕竟雨伞不知道中国人都用什么东西，qzone和360safe的误报就是最好的例子，qzone基本升级一次雨伞就malware一次，360一样。。
缺乏了解罢了
我每天10个以上的免杀上报和20多页的上报记录可不是白来的
话说回来，如果你乐意帮助我们免杀雨伞，来完善引擎，我们当然不会有意见拉

显示全部楼层 · 发表于 2007-4-7 16:49:31

对于免杀，我只做过试验，但从来没有上报过，任何一个杀软都是，在试验上都是用自己的机子，也从不用虚拟机和影子之类的，考虑到精力问题，对这块也没有什么兴趣，对自己也没有什么好处。对个人电脑也没有兴趣，宁愿做做别的。

[ 本帖最后由曲中求于 2007-4-7 16:50 编辑 ]

显示全部楼层 · 发表于 2007-4-7 16:49:40

原帖由 坐在墙头 于 2007-4-7 00:41 发表
Who defined that detection by dynamic code analysis is the only allowed way to detect malicious files? Of course it is an advanced and reliable method, but it has it's limitations aswell. And why ...

所以我说了，crypted实际是一种“报壳”
但是又不是真正意义上的报壳这么简单
每种不同的crypted都是有一定的特性的，不然雨伞直接都是pck/nspack， pck/aspack和virusbuster一样的了
“报壳”只是表面，真正内部的东西，没有人知道

显示全部楼层 · 发表于 2007-4-7 16:52:06

原帖由 曲中求 于 2007-4-7 17:22 发表

我记得我曾经说过一句话：如果在样本区有能力对每个杀软做免杀，都是一样挂。正如我在NOD 32club所说，样本区是个极其复杂的地方，除了各个杀软的枪手、实验性木马，还有针对免杀的（MS有人承认），从个人选杀 ...

那也多多少少能说明，NOD32的免杀十分好做
卡巴免杀固然多，但能过主动防御的只怕寥寥无几，PDM虽然功能不多，也相当傻乎乎的，但针对主要的威胁性行为十分有效
而过了NOD32的木马就是过了，再也没有后一道的防卫
看来版主觉得样本区可以无视是因为免杀的出现，这顶多也只是自我心理安慰
而且我可以告诉你，在Malware Listserv上NOD32挂的ItW网马根本就数不胜数，你可以亲自到Castlecops看看

至于那些总是努力把话题转移到红伞身上来掩护NOD32的弱点的人，我也不多说了，也不晓得有些人何必这么心虚

[ 本帖最后由 solcroft 于 2007-4-7 18:24 编辑 ]

显示全部楼层 · 发表于 2007-4-7 16:54:33

我已经说过了，我用杀软和防火墙都一样，从来不看测试和排名，也不看样本区，在使用一段时间觉得可以适合自己就行了，防火墙这东西对我来说，也只是防外联而已，其它的基本上是多余的。。。。。

显示全部楼层 · 发表于 2007-4-7 16:55:49

如果你也认为上面的话是红伞工程师说的，那么这样了你居然都还能绕回红伞不是报壳，我是相当佩服啊

当演讲师去吧，估计要你的人还要排队

显示全部楼层 · 发表于 2007-4-7 16:55:50

我只是客观的说而已，样本区本身是复杂的，我个人是无视不参考状态，你们可以当一回事，道理就这样简单。。。

显示全部楼层 · 发表于 2007-4-7 16:56:58

原帖由 曲中求 于 2007-4-7 18:24 发表
我已经说过了，我用杀软和防火墙都一样，从来不看测试和排名，也不看样本区，在使用一段时间觉得可以适合自己就行了，防火墙这东西对我来说，也只是防外联而已，其它的基本上是多余的。。。。。

这个是版主您个人的看法，只能说对想寻找真正强劲的杀软的人来说多多少少有一些误导性

显示全部楼层 · 发表于 2007-4-7 16:58:05

每个人都要有自己的观点，怎么说误导，我又不要别人跟我一样。。。。

显示全部楼层 · 发表于 2007-4-7 17:01:45

实际上就“报壳”的问题来说
雨伞的引擎确实比较奇怪
在保证文件“存活”的情况下加壳（加壳后文件可以运行）
如果加壳前antivir已知，加壳后可能识不出名字，但是还是能杀出来
如果加壳前antivir不报，加壳后也不会报
但是如果你使劲加，或者干脆不用使劲，直接加死，类似fsg+expressor这样
文件是死了，但是不管加壳前的东西有没有问题，雨伞都来个crypted，或者其他什么奇怪的名字
这点非常非常奇怪。
不过文件都死了，报不报有什么关系？反正也没人会这么加
这也是被eq2猛烈攻击“报壳”的原因。。
不过我向来不重视加壳免杀，看晚上什么hackbase里面的人就什么几个工具一加，过了kav完事我就-_-||
还有卖自己写的加壳机的。。
这年头，免杀真廉价。。

[砖头] 目前来说，ESS的实力不比2。7好太多

回复 #31 mofunzone 的帖子

回复 #34 solcroft 的帖子

回复 #33 mofunzone 的帖子

回复 #38 solcroft 的帖子