关于百锐金盾

显示全部楼层 · 发表于 2010-9-12 20:11:59

回复 20楼 jefffire 的帖子

红伞是最典型的，180w微特+少量基因码，剩下的就是静态启发

显示全部楼层 · 发表于 2010-9-12 20:16:35

回复

红伞是最典型的，180w微特+少量基因码，剩下的就是静态启发
白羊座发表于 2010.9.12 20:11

红伞我怎么觉得是基因码为主呢。而且近来查杀率明显不给力

显示全部楼层 · 发表于 2010-9-12 20:18:11

回复 22楼 jefffire 的帖子

180w微特征只能杀撑死200w的毒，后面的看启发了，基因码是误杀神器，不可乱用

显示全部楼层 · 发表于 2010-9-12 20:19:24

回复

180w微特征只能杀撑死200w的毒，后面的看启发了，基因码是误杀神器，不可乱用
白羊座发表于 2010.9.12 20:18

红伞微特征似乎特别喜欢定位在资源上面

显示全部楼层 · 发表于 2010-9-12 20:24:57

回复 24楼 jefffire 的帖子

资源上肯定有一段定位到，当然还会从其他区段取片段，几个片段一拼算一个crc32，最终拼出32位一段特征，所以红伞毒库是比较小的，也没有用什么传统的特征码技术
不过不管啥方式，管用就行，红伞用微特征+启发式给了一个杀毒软件轻量化的新思路，让杀毒从俄罗斯系和罗马尼亚系两大传统引擎的框框中跳了出来，这才是他的真资本

显示全部楼层 · 发表于 2010-9-12 20:27:19

回复

资源上肯定有一段定位到，当然还会从其他区段取片段，几个片段一拼算一个crc32，最终拼出32 ...
白羊座发表于 2010.9.12 20:24

说的不错，领教了。

显示全部楼层 · 发表于 2010-9-12 20:30:33

本帖最后由 liangfangCN 于 2010.9.12 20:38 编辑

取得SizeOfImage(Optional Header中)
Seek #Fileno, PE头偏移
Get #Fileno, , 数据()
If Send > 0 Then Seek #Fileno, Send
Get #Fileno, , 数据1()
If SizeOfRaw > 0 Then Seek #Fileno, Val(SizeOfRaw)
Get #Fileno, , 数据2()
If StrHead > 0 Then Seek #Fileno, StrHead
Get #Fileno, , 数据3()
shuju1 = TT.提取内存RCR(数据)
shuju2 = TT.提取内存RCR(数据1)
shuju3 = TT.提取内存RCR(数据2
shuju4 = TT.提取内存RCR(数据3)
判断 = TT.提取内存RCR(shuju1 & shuju2 & shuju3 & shuju4)

复制代码

显示全部楼层 · 发表于 2010-9-12 20:33:04

回复 27楼 liangfangCN 的帖子

你这个太雏形了点

显示全部楼层 · 发表于 2010-9-18 10:19:56

误杀率极高[:27:]

显示全部楼层 · 发表于 2010-9-25 23:42:45

试了扫描些病毒，能查出。但是也扫出C盘三个系统文件，但放在网页多引擎查毒里并没有报。感觉这东西有些用，放在极老的机器上，可以不用更新。能查出至少半数病毒。不过这样的话配合瓦斯曲的禁运会比较好用。

[讨论] 关于百锐金盾

评分