查看: 2306|回复: 8
收起左侧

[讨论] mofunzone老师请进

[复制链接]
scottxzt
发表于 2007-4-22 18:34:27 | 显示全部楼层 |阅读模式
请问一下老师你下午谈到的,heru/crypted而不是heur/crypted.nspm到底有啥区别.是否EQ2自己在正常的文件上加壳加密,而导致红伞误报吗?

还有请老师教下如何通过红伞把网上的病毒抓下来.
promised
发表于 2007-4-22 20:05:12 | 显示全部楼层
原帖由 scottxzt 于 2007-4-22 18:34 发表
请问一下老师你下午谈到的,heru/crypted而不是heur/crypted.nspm到底有啥区别.是否EQ2自己在正常的文件上加壳加密,而导致红伞误报吗?

还有请老师教下如何通过红伞把网上的病毒抓下来.

你发个邮件去文红伞的工程师吧
scottxzt
 楼主| 发表于 2007-4-22 20:57:44 | 显示全部楼层
原帖由 promised 于 2007-4-22 20:05 发表

你发个邮件去文红伞的工程师吧



你的意思是,
xngnln
发表于 2007-4-22 21:01:35 | 显示全部楼层
mofunzone升级为老师了,
mofunzone
发表于 2007-4-23 02:53:31 | 显示全部楼层
heur/crypted属于高级启发,会有误报,而且可能会是因为加壳之后的变异结构造成的,不过被人认为是“报壳”
而heur/crupted.nspm这种的属于基因启发,基本没什么误报,nsanti除外,那个是杀壳,因为nsanti没法手动脱,ollydbg都不行,至少我不会,而内存免杀这种东西不如直接杀了,nod脱这东西失灵时不灵的
后面的,抓网马直接quaratine就ok了
scottxzt
 楼主| 发表于 2007-4-23 22:24:08 | 显示全部楼层
谢谢老师,基本明白了,红伞如果能够加强脱壳技术就更棒了!我喜欢高启发,报总比不报好,我自己用的系统中还没有遇见啥误报的呢 !
cheninot
发表于 2007-4-23 22:42:50 | 显示全部楼层
学习中,小红伞的启发式如果能降低误报率就更完美了。
buycard
发表于 2007-4-24 21:41:20 | 显示全部楼层
不加壳的情况下,启发式才是真正的启发,加了壳,启发式都是针对壳的,所以叫报壳无可厚非。

真正的启发式对付加壳的病毒,先脱壳,再用启发式对裸替的病毒判断,而不是直接对穿着衣服的病毒进行判断,病毒不可貌相。

穿着脏衣服的人不一定都是坏人,穿的人模狗样的不一定是好人。

[ 本帖最后由 buycard 于 2007-4-24 21:43 编辑 ]
xngnln
发表于 2007-4-25 00:16:53 | 显示全部楼层
LS说的有一定的道理
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:06 , Processed in 0.106014 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表