再來個過卡巴的現抓樣本，過很多殺軟

aoyang

原帖由 EQ2 于 2007-5-7 03:21 发表
某人不是说费尔不容易报壳的？？？？

[:26:] 是我说的费尔不容易报壳，当然也不是不报。只是报壳的情况比较少。
EQ2,你看直接报壳和启发的区别，但是还你是坚持费尔在报壳，那也无所谓，没必要争个你死我活的。
这个是直接报壳的截图

附件中的第一副图是启发出来的截图

即便你说通通全是报的壳，OK，也无所谓，无所谓报壳不报壳，你下载的东西总需要运行。你运行后即使是你扫描时为无毒或者是带壳文件，动态防御可不认这些，他是另外一套单独的防御系统，会做出相应的判断。就好比，一个灰鸽子，你可以加很多壳来骗过杀软，费尔勾上“探测未知壳”以后也许会报“带壳程序”当然有少数情况在不勾上“探测未知壳”也会报告“带壳程序”当然你放心，正常文件你什么怎么加壳一般都不会报（我是没遇见过，但是也排除有个别情况）就拿鸽子来说，目前费尔V7版号称杀死目前所有灰鸽子，虽然有点狂妄但是也不是吹出来的，至少说还没出现一个可以过费尔V7的鸽子。当然要针对费尔V7做免杀鸽子也不是没有这个可能，因为毕竟杀软就摆在面前，在技术上是没有什么问题的，就看你是否达到那个水平。即使你过了费尔，但是过不了多久费尔就会出现更高级的技术来弥补以前技术上的不足。这就是被杀，免杀，再杀。看谁斗得过谁。
至于围巾、熊猫、兔子之类木马病毒，费尔的用户根本不用放在心上，即便过了病毒库，和动态防御，再关闭病毒感染预警之阻止对可执行文件的写操作。但是只需要启动病毒免预就可以有效的防止（具体参考卡饭费尔区的帖子）但是实际上，围巾连动态防御这一关也过不了。
最后是运行样本后的报告截图。

[ 本帖最后由 aoyang 于 2007-5-7 18:24 编辑 ]

The EQs

原帖由 aoyang 于 2007-5-7 16:01 发表

[:26:] 是我说的费尔不容易报壳，当然也不是不报。只是报壳的情况比较少。
EQ2,你看直接报壳和启发的区别，但是还你是坚持费尔在报壳，那也无所谓，没必要争个你死我活的。
这个是直接报壳的截图
http://b ...

拜托。。偶没有说这个费尔的启发式全部报壳。。。。只是上面贴的启发式是报壳而已。类似于不少杀软的启发式

The EQs

费尔想和nod32比启发式？

aoyang

原帖由 EQ2 于 2007-5-7 16:14 发表

拜托。。偶没有说这个费尔的启发式全部报壳。。。。只是上面贴的启发式是报壳而已。类似于不少杀软的启发式

上面帖的启发不是报壳，你注意比较一下启发报的和直接报壳的  名称是不一样的。
如果报壳，费尔是很直接的，直接说明是“带壳程序”
即便你去掉“探测未知壳”也一样报“带壳程序”

The EQs

原帖由 aoyang 于 2007-5-7 16:20 发表

上面帖的启发不是报壳，你注意比较一下启发报的和直接报壳的  名称是不一样的。
如果报壳，费尔是很直接的，直接说明是“带壳程序”
即便你去掉“探测未知壳”也一样报“带壳程序”

这个和AVIRA的HEUR/Crypted有何区别？？？？只不过后面的Crypted变为了packed而已

aoyang

原帖由 EQ2 于 2007-5-7 16:18 发表
费尔想和nod32比启发式？

[:26:] 这个是你说的，不是我说的。

我只是更正你说的费尔在此帖中的样本报壳的错误说法。不是报壳，而是启发报的。

The EQs

但是都是一个意思。。。crypt翻译成中文就是加密。。。。pack=加壳。。。

The EQs

你找个没加壳的报这个启发式看看。。。。。。。

aoyang

不争论了，报壳就报壳吧。无所谓[:27:]
我说这个不是报壳，就这样决定了

The EQs

nod32貌似也用crypt报壳。。。。。。反正用crypt报壳的杀软还真多。。avast也是用miancrypt报壳。。