难道微点主防报已知是利用MD5检测?

显示全部楼层 · 发表于 2010-9-7 10:42:55

本帖最后由 herofw 于 2010.9.7 17:28 编辑

昨天没事做网盾下载保护的测试的时候.http://bbs.kafan.cn/thread-786281-1-1.html发现了微点主防报已知的一个小疑问!!我电脑里面装的是微点主防!在把这个有毒文件压缩包解压后.微点就直接报已知木马!由于要对病毒文件对行测试.所以就一直点击不删除.然后一直发现微点主防在报.但是当我把这个病毒文件的MD5值修改后.发现微点就安静了!!没有报修改过后的文件了!

呵呵.这个发现不能代表什么.因为微点主防主要是靠行为防御为主.而病毒库特征码只是辅助!!
再次期待微点2.0的闪亮登场!

还有各位也不用争得这么那个了.我只不过是个意外发现.也只是有这么个疑问!!
我用微点也有两年了.一直也是非常支持微点的.如果大家经常去微点论坛也就知道的.我在那还算比较活跃的!
还有因为微点主防内带病毒特征码.对文件会首先利用特征码扫描.如果这个文件内有病毒库内的特征.就报已知.如果没有的话就用行为防御.所以在对于把文件MD5改掉后.微点不报已知了表示疑问!!
并没有代表说微点主防不强.我也没有去点击那个文件.因为是实机测试!!
如果大家有用虚拟机的朋友可以测试后发上来!!

显示全部楼层 · 发表于 2010-9-7 10:44:08

不是吧、。连微点报已知都是MD5？？？？

显示全部楼层 · 发表于 2010-9-7 10:47:34

我都能去做了

显示全部楼层 · 发表于 2010-9-7 10:57:24

可能你正好改掉了微点对样本的定位区间

显示全部楼层 · 发表于 2010-9-7 12:15:09

不会吧，这样对于本地病毒库来说会很大的啊

显示全部楼层 · 发表于 2010-9-7 12:16:58

运行了吗？解压只是特征检测哦，先校对MD5是应该的...微点的特征只作辅助！

显示全部楼层 · 发表于 2010-9-7 12:29:40

这个不会吧，不过如果真实核对MD5那收集量挺大的，对于lS的提问，特征码对于微点主防确实只是一个辅助作用。

显示全部楼层 · 发表于 2010-9-7 12:39:59

回复 4楼镜湖的帖子

改掉文件末尾0区一个字节，那就“正好”改到定位区间了？

显示全部楼层 · 发表于 2010-9-7 12:52:45

本帖最后由镜湖于 2010.9.7 13:16 编辑

回复

改掉文件末尾0区一个字节，那就“正好”改到定位区间了？
蓝天白云520 发表于 2010.9.7 12:39

楼主提出的问题最好到官方去反映。楼主可没说是在末尾改的,难到是你改的.

显示全部楼层 · 发表于 2010-9-7 13:11:34

本帖最后由杀软研究员小柯于 2010.9.7 13:14 编辑

楼主如果说金山网盾是靠MD5检测还可以说微点也靠MD5检测简直是胡说八道微点也有病毒库微点的每次升级不只是修复bug 大部分是在升级本地病毒库楼主没用过微点就不要胡说八道了好吗楼主修改MD5之后可以再运行试试啊看看微点是报已知还是未知一试便知

[微点] 难道微点主防报已知是利用MD5检测?