mofunzone老师请进

scottxzt

请问一下老师你下午谈到的,heru/crypted而不是heur/crypted.nspm到底有啥区别.是否EQ2自己在正常的文件上加壳加密,而导致红伞误报吗?

还有请老师教下如何通过红伞把网上的病毒抓下来.

promised

原帖由 scottxzt 于 2007-4-22 18:34 发表
请问一下老师你下午谈到的,heru/crypted而不是heur/crypted.nspm到底有啥区别.是否EQ2自己在正常的文件上加壳加密,而导致红伞误报吗?

还有请老师教下如何通过红伞把网上的病毒抓下来.

你发个邮件去文红伞的工程师吧

scottxzt

原帖由 promised 于 2007-4-22 20:05 发表

你发个邮件去文红伞的工程师吧

你的意思是,

xngnln

mofunzone升级为老师了，

mofunzone

heur/crypted属于高级启发，会有误报，而且可能会是因为加壳之后的变异结构造成的，不过被人认为是“报壳”
而heur/crupted.nspm这种的属于基因启发，基本没什么误报，nsanti除外，那个是杀壳，因为nsanti没法手动脱，ollydbg都不行，至少我不会，而内存免杀这种东西不如直接杀了，nod脱这东西失灵时不灵的
后面的，抓网马直接quaratine就ok了

scottxzt

谢谢老师,基本明白了,红伞如果能够加强脱壳技术就更棒了!我喜欢高启发,报总比不报好,我自己用的系统中还没有遇见啥误报的呢 !

cheninot

学习中，小红伞的启发式如果能降低误报率就更完美了。

buycard

不加壳的情况下，启发式才是真正的启发，加了壳，启发式都是针对壳的，所以叫报壳无可厚非。

真正的启发式对付加壳的病毒，先脱壳，再用启发式对裸替的病毒判断，而不是直接对穿着衣服的病毒进行判断，病毒不可貌相。

穿着脏衣服的人不一定都是坏人，穿的人模狗样的不一定是好人。

[ 本帖最后由 buycard 于 2007-4-24 21:43 编辑 ]

xngnln

LS说的有一定的道理