也来对《论：启发式的“高低贵贱”》这篇帖子脱脱壳再启发，或是结构性分析！？

solcroft

原贴不知道是谁发的？
那个家伙也真搞笑，不知道他到底信口开河什么壳的“特点”，这么清楚这一类的引擎需要不断更新才行？
世上没有十全十美的东西，结构分析法自然有其弱点，这个人捉住了这些弱点便来大喊低贱
不知道他知不知道虚拟机脱壳法的弱点更大？脱壳时十分占用系统资源，直接检查虚拟机API反映便可以轻易过了虚拟机脱壳，更有一些专门针对虚拟机脱壳法的壳，NOD32就是典型例子，有时候脱了十多秒的壳脱出来个found nothing
原作者只知道看准了结构分析的弱点来大叫，愚夫一个也

The EQs

现在报壳反而有理了？？？？

solcroft

原帖由 EQ2 于 2007-5-5 04:05 发表
现在报壳反而有理了？？？？

那也要先看“报壳”这个说法是否成立，以前说到现在都只看见你整天说是报壳，却不曾见过任何有力证据

对于一个把进步说成“可惜”的人，我也不知道该说什么才好了，说穿了，你的想诬蔑红伞的欲望根本就强过你求真理的探索精神

[ 本帖最后由 solcroft 于 2007-5-5 04:14 编辑 ]

The EQs

麻烦你自己去霏凡问问看好了。。。。。这个不是偶一个人说的。。。不说别的了。。。要说别人诬蔑。。。首先自己得有足够的证据来证明。。。BD那么强悍偶为什么不说？？？而且偶貌似不仅说过AVIRA。。。avast，卡巴，诺顿，蜘蛛还有nod32偶都说过报壳的。。。。除非你是一个小心眼的人

solcroft

原帖由 EQ2 于 2007-5-5 04:25 发表
。。。首先自己得有足够的证据来证明。。。

原来你也懂得说话要有证据这个道理

wwqwwq

原帖由 solcroft 于 2007-5-4 22:39 发表

只能说你的逻辑具有严重的选择性。
以壳定罪，一向来只是某些对壳一知半解的人的说法。这个说法本身就带有严重的错误，这是第一点。红伞如果见壳就报，某人也不必这么辛苦日夜不断努力制造让红伞误报的文件了 ...

我并没有说报壳这种行为低贱，只是说它不负责任而已。杀毒软件的本职工作是找出那些对电脑有害的病毒，并且阻止它们对电脑的破坏，而不是在测验中拿到更好的成绩。加壳这种行为本身并没有危害性，也许有个别几个“经典”的壳是被大量病毒使用的，但这并不能作为该壳就代表病毒的证据。就好像很多黑帮分子都有枪，但是同时警察也有枪、军人也有枪，我们要抓的是黑帮分子，而不是持枪的人。报壳的做法就是把所有持枪人都抓来，然后让你自己去一一鉴别。

solcroft

原帖由 wwqwwq 于 2007-5-5 11:25 发表

我并没有说报壳这种行为低贱，只是说它不负责任而已。杀毒软件的本职工作是找出那些对电脑有害的病毒，并且阻止它们对电脑的破坏，而不是在测验中拿到更好的成绩。加壳这种行为本身并没有危害性，也许有个别几 ...

事实上，属于这种可以加壳法的正常文件只怕没几个，这就是为什么某人必须这么努力寻找让红伞误报的样本的原因
套上一个不正确地比喻，只有误导别人，误导自己

何况你也没有回答我的问题，这么说来，微点也是十分不精准的杀软。只在系统目录下生成exe文件，对电脑有害吗？进行dll注入，对系统有害吗？这些行为也不能说定是病毒，可是微点也照样杀了。那NOD32呢？一个文件的代码结构近乎一些已知病毒，NOD32直接把它报成a variant of，新变种。只是外貌看起来像坏人就报了再说，这种行为就很高尚吗？

如果一切的启发式都要达到你的标准，那我可以告诉你，这个世界上就没有启发式这个东西了。电脑究竟是电脑，就算你编写个“智能化”系统，把启发式研究得如何精准，它终究还是死的，在无法确认是否有害文件的情况下只能靠些制定的算法推定可疑性。连特征码扫描都会出现误报的现象，启发式更不必说了。你要求的零误报启发式，只怕是一种理念上的执著。

[ 本帖最后由 solcroft 于 2007-5-5 15:09 编辑 ]

The EQs

看来你对nod32的启发式不了解。。。。。不知道你看了fprot的那段话没有？

solcroft

原帖由 EQ2 于 2007-5-5 15:06 发表
看来你对nod32的启发式不了解。。。。。不知道你看了fprot的那段话没有？

不知F-Prot的那段话你到底看懂多少

The EQs

fprot都已经解释了报XX的变种是正常的。。。