论：启发式的“高低贵贱”

The EQs

上次已经放过fprot对报壳的看法，现在是panda了
Currently our heuristic's high detection rate is based strictly on the correlation of over 200 flags of evidence from each file it scans. Being runtime packed is simply one of those evidences. A simple way for better understanding this issue is that we manually managed at the lab all false positives generated by our products' heuristics engine which is deployed at millions of computers. Every false positive has a very direct economic impact in our resources and a very clear impact in user experience and satisfaction. No company can afford either of these for a prolonged period of time. If we really had a problem in this aspect we'd be the first interested party in resolving it.

   But definitely detecting packed files as suspicious is an interesting issue for discussion. As a matter of fact other security companies have started doing so systematically, at least in perimeter protection products.

evilcat

原帖由 jpzy 于 2007-4-30 23:51 发表

希望看到理性的分析，而不是加了很多个人感情在里面的分析！
这种口气的分析即使正确也容易招来反感和口水！！

赞同你的观点 ，对楼主就不多说什么了

mofunzone

还探测壳结构启发。。
无语了
我们这些做免杀的还不清楚
你所谓的那些软件
哪些“垃圾”，哪些“不垃圾”吗？
就是你用个废物虚拟机，把病毒脱光了，抓不住特征码，一样是白痴
在我们看来，不管是你所谓的“报壳”还是“启发”，抓到病毒的就比没抓到病毒的要好，难道已经要报出病毒名称才可以？
终于rookit技术，对于在rookit出现早期就加入了rookit.gen的杀毒软件，有没有rookit侦测有什么意义？在你还在用你加入rookit扫描的杀毒软件扫描的时候，我们已经在病毒进入的第一时间用gen干掉了

mofunzone

在我看来，lz压根就不理解什么叫做启发
我可以100%的告诉你，nod的虚拟机除了脱壳之外，根本就是个废柴
而现在看来，bd的b-have技术是虚拟机启发技术典型的例子，现在新出现的就是kav7的emulator的，这个又是和虚拟机两个概念了，emulator的效果比虚拟机还要好，当然，理所当然的时间和cpu所用的就更多，就现在来看，nod的虚拟机脱壳专用，bd的虚拟机是脱壳+部分emulator，而kav7的是完全emulator，没有脱壳作用，可以去样本区看看，kav6不报而kav7报的大部分都是什么trojan，invader，downloader这种行为启发，而没有脱壳上面的改进，这点比较可惜，kav7没有做到bd的混合功能，如果kav以后改成虚拟机+算法脱壳，那无敌了就
至于antivir，lz自己带着有色眼镜是永远不会理解结构启发的，所以我也懒得说什么，虽然我承认有你们所谓的“报壳”，但是crpted建立的初衷就是“为此”，而基因启发的crypted则全是结构判断，包括nsanti，我可以把一个文件用nsanti改成nspm，不用改变代码，而只是改一次结构，但是通常这种病毒nod是杀不出来的，因为nod抓不到特征码。。
希望以后多在样本区看见lz的免杀，现在做nod免杀是对我智慧的侮辱。。
诅咒万恶的kav7的emulator。。

[ 本帖最后由 mofunzone 于 2007-4-30 18:04 编辑 ]

九尾野狐

支持JPZY

估计这个帖子的回帖率会达到好几页

坐在墙头

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

caolizhen

飘过

hnhkxywl

这里有一点要说明，启发式或者内核监控之类的主动防毒技术和脱壳没有关系，所谓的启发技术说白了就是对可执行代码进行风险评估，和脱壳技术根本是两码事。

cxcx3

额  终于见到点有水准的帖子了，只对定义评价

yzt1004

飞快飘过
要有口水战了