也来对《论：启发式的“高低贵贱”》这篇帖子脱脱壳再启发，或是结构性分析！？

solcroft

原帖由 EQ2 于 2007-5-5 15:09 发表
fprot都已经解释了报XX的变种是正常的。。。

简直无语了，你自己先去搞清楚吧，我说的是什么，Cloeseau说的又是什么，我可没力气来天天帮你纠正你的语言能力缺陷

7sumetai

我这里有一个量子论坛搞的DOD：S反作弊登陆器，看看都是在报啥吧？不一定是启发的才有误报吧？

wwqwwq

原帖由 solcroft 于 2007-5-5 13:34 发表

事实上，属于这种可以加壳法的正常文件只怕没几个，这就是为什么某人必须这么努力寻找让红伞误报的样本的原因
套上一个不正确地比喻，只有误导别人，误导自己

何况你也没有回答我的问题，这么说来，微点也 ...

我不明白我为什么要回答你关于微点的问题。你要明白，我并没有赞同微点的做法，所以你用微点类比是不是有些无力呢？nod32也并不是完美无缺，不过它在报毒上更加慎重而已。

firelife

panda报灰鸽子.....

[ 本帖最后由 firelife 于 2007-5-5 16:33 编辑 ]

wwqwwq

而且，我从来没有过什么追求零误报的论点，请不要把观点强加给我。我关心的，只是判毒方式的选择而已。

jpzy

既然大家都有误报，那就无所谓谁的能力比谁更强的道理了！
充其量不过是五十步笑百步罢了！
至于什么方式判断病毒，我觉得对用户来说根本无所谓，大部分的人谁会管你是脱掉了两层壳扫毒还是隔着两层壳扫毒啊！只要能发现病毒，并且误报在合理的范围内就可以了！

jpzy

原帖由 solcroft 于 2007-5-5 13:41 发表

简直无语了，你自己先去搞清楚吧，我说的是什么，Cloeseau说的又是什么，我可没力气来天天帮你纠正你的语言能力缺陷

solcroft也冷静一点，控制一下情绪，火药味太重了不好~~~

solcroft

原帖由 wwqwwq 于 2007-5-5 17:58 发表

我不明白我为什么要回答你关于微点的问题。你要明白，我并没有赞同微点的做法，所以你用微点类比是不是有些无力呢？nod32也并不是完美无缺，不过它在报毒上更加慎重而已。

因为微点报毒的原理，和NOD32的启发式报毒的原理，最基本上也不是针对“真正有害”文件，而只是“可疑”文件。既然是启发式，自然就是来针对未知病毒；既然是“未知”，那自然只有“可疑”，没有“一定”了，因为电脑无法做到如人工分析一般的准确判定是否新病毒。你说红伞的启发式只能报“可疑”，无法报“一定”，但其实这就是天下所有杀软启发式的特性。

至于误报问题，红伞误报相对的多了一些，查杀率也一样相对的强大了一些。至于是不是在可以接受的范围以内，用过的人自己知道，权威评测里结果里也可以看出来。另外在国外的杀软论坛，我是从来没有听过有人抱怨红伞的误报率的，不知道是不是和中国人的盗版+破解风气有关。

[ 本帖最后由 solcroft 于 2007-5-5 23:48 编辑 ]

wwqwwq

红伞把加壳判断为可疑，nod没有，这就是两者的区别。
报壳的方法其实并没有接触到病毒核心，只是一种取巧的方法而已，应付测试很灵，实用上有很多问题。在我看来，把以壳定毒列为一种启发方法实在是有些勉强，充其量只能作为可疑文件筛选的第一步罢了，接下来还应该还加壳文件的真面目，以确定是否是病毒。遗憾的是，这一步红伞并没有做到，这就必然带来大量误报。
其实我们争了这么多，无非是一个基本观念有冲突罢了：你认为为了提高查杀率，误报率稍高是可以接受的，而我认为误报比漏杀更可怕，因为那代表曲高和寡。

7sumetai

对于终端用户来说，启发的所谓“高低贵贱”是毫无关系的，但是，我们是在一个向技术转型的安全论坛上讨论，对于这些引擎采用的方式来进行各自优劣的探讨自然是无可厚非的咯。NOD的启发式倒是不少人讲解了不少，而小红伞的启发似乎倒是提得少了，大概是对我们这些门外汉彻底无语了，已经不屑于讲解了。至于究竟是不是所谓的技术落后，如果不了解清楚又怎么能够妄下定论？所以说到底，在没有对红伞启发引擎结构充分了解的情况下，争论是毫无意义的。