关于NOD的网页启发等级大于本地启发的等级的看法

显示全部楼层 · 发表于 2010-7-3 17:27:35

本帖最后由波导的勇者于 2010.7.3 21:34 编辑

最近 NOD在样本区出现了一个奇怪的现象就是在下载某些样本的过程中网页扫描会报警但是下载完成后本地扫描却不报了
记得某个人说是NOD的网页启发等级大于本地启发的等级
我对此并不认同
下面开始论证
首先我下载BDV（百锐启发引擎）众所周知百锐加过Themida 这种壳
而NOD是把这种壳带壳入库的
所以下载过程中会报壳
如图一图二

但是扫描却不报毒如图三所示

这也能说是 NOD的网页启发等级大于本地启发的等级？
都是带壳入库了还用的着启发吗
所以这是文件的白名单技术在作怪
于是我认为NOD在样本区出现的奇怪现象
是因为也就是在下载中文件还不完整所以网页扫描侦测到了但是文件下载完成后文件的某些特征与白名单的特征相符合所以此文件做到了所谓的“免杀”
原来我发过这种帖子但空气版主说不符合原创
这次总符合了吧

就如原帖说的对于这种现象我们不用慌张应该努力上报
还有NOD其实能查杀那种免杀文件只是有点BUG导致这种灵异现象

显示全部楼层 · 发表于 2010-7-3 17:28:22

了解下

显示全部楼层 · 发表于 2010-7-3 17:32:10

刚睡醒，头晕，没看明白，，，帮顶一下

显示全部楼层 · 发表于 2010-7-3 17:33:28

回复 3楼 pomajiuwo 的帖子

在下载中文件还不完整所以网页扫描侦测到了但是文件下载完成后文件的某些特征与白名单的特征相符合所以此文件做到了所谓的“免杀”
这段是精华

显示全部楼层 · 发表于 2010-7-3 18:25:31

强悍的WEB监控使我虚拟机里无法下载毒包

显示全部楼层 · 发表于 2010-7-3 18:50:00

我比较赞同楼主的看法

显示全部楼层 · 发表于 2010-7-3 19:10:19

回复 6楼 strawman0719 的帖子

难得找到知音不知道逍遥派是个什么样的组织

显示全部楼层 · 发表于 2010-7-3 19:49:38

强悍的WEB监控使我虚拟机里无法下载毒包
62590423 发表于 2010.7.3 18:25

暂时禁用http检查即可

显示全部楼层 · 发表于 2010-7-3 19:51:56

对楼主探究精神表示赞赏。
具体是否是bug，我有时间打听一下

显示全部楼层 · 发表于 2010-7-3 19:51:57

回复 8楼 gsl9583306 的帖子

这次总算原创了把

[原创] 关于NOD的网页启发等级大于本地启发的等级的看法

本帖子中包含更多资源

评分