用HIPS的或者EQ的来

promised

原帖由 solcroft 于 2007-5-10 22:25 发表

那就只能说你只会单独看“写隐藏分区”这个动作了，不会综合性地评价一个程序
所以说了，只说你自己未必分得清就好，没必要来意味着大家都分不清

终于回到当初的问题

jlennon

原帖由 EQ2 于 2007-5-10 22:23 发表
判定是不是病毒并非只是看hips就能看出来的。。。。。还是给专业的病毒分析师分析吧

没错。有些软件的个别行为我喜欢，我就是限制这个行为（主要其余的我需要的功能不受影响），这点真的是这样。

The EQs

如果通过看hips就能判断是否是病毒的话。。那么会使用hips的是不是个个都能去应聘病毒分析师？？那么传统的分析师是不是该下岗了？？？

yzt1004

已经在茶社做了广告：
http://bbs.kafan.cn/viewthread.php?tid=83475

promised

原帖由 EQ2 于 2007-5-10 22:29 发表
如果通过看hips就能判断是否是病毒的话。。那么会使用hips的是不是个个都能去应聘病毒分析师？？那么传统的分析师是不是该下岗了？？？

你指的传统分析师从源码判断的吗

jlennon

我已经回答你了。
我记得solcroft说的是根据这个判断是上报并不是说分析师就是这样分析的。

晕死了，都绕来绕去，最后绕死的就是我们几个 。

The EQs

偶指的是看代码+看病毒的行为来判断。。并非只是单纯的hips

harry_chang2003

有些毒,HIPS也分析不出來
還有毒可以讓某些HIPS失效

所以病毒分析師肯定不是用HIPS分析毒的

solcroft

原帖由 EQ2 于 2007-5-10 23:59 发表
如果通过看hips就能判断是否是病毒的话。。那么会使用hips的是不是个个都能去应聘病毒分析师？？那么传统的分析师是不是该下岗了？？？

未必，有些病毒的行为会根据系统环境而差异
你以为病毒分析师就只看病毒行为这么简单？还要提取病毒特征码，保证不误报等N多个责任，才没你想得那么简单
要判定病毒还不容易，要杀毒才麻烦
我的教授示范过一次用debug.exe动手杀DOS的老毒，佩服

[ 本帖最后由 solcroft 于 2007-5-11 00:07 编辑 ]

The EQs

不过从偶目前所知道的，很多反病毒厂商的分析师只是看代码的。。典型的就是卡巴。。。。。卡巴在回信里面写的很清楚了。。没有恶意代码