发个大量（73.8%）误报的样本

回复 19楼 522586971 的帖子

就算原始的exe有问题单纯这个也不能算病毒啊

522586971

回复 20楼 jefffire 的帖子

1：没有正常程序创建或者使用这个dll
2：这个dll的作用是为了装载一个恶意sys

所以，检测这个dll不成问题。

显然你缺乏编程经验，如果我写一个程序，释放了一百个文件，这一百个文件分别执行不同的动作，合起来实现一个恶意程序的功能。但是单独看每个文件，似乎都构不成恶意，那么你就说clean?搞笑

回复 22楼 522586971 的帖子

那么你说只要是会加载驱动的dll都是病毒咯？

jefffire

522586971 发表于 2010-12-12 15:46
回复 20楼 jefffire 的帖子

1：没有正常程序创建或者使用这个dll

1、没拿到配套的sys，exe。因此sys、exe是否有恶意，还是个未知数。在这个前提下，我判断该dll不存在明显恶意行为，没任何问题。
2、你所说的，不同文件分步执行，实现恶意功能。那也肯定是在收集到了相对完整的程序后，分析得出恶意的结论，难道你能看了其中一个就知道剩余99个怎么回事？？
3、假如，存在你所说的这样的恶意程序，那也应该将特征码定位在恶意更明显的文件上。

522586971

回复 24楼 jefffire 的帖子

1。你没拿到文件就断定误报。也不看看里面有webhijack字符，也不看看这种脑残的装载驱动的方式。。

2。恶意程序与正常程序没有什么区别。有时候，一个木马下载者和一个正常下载者的区别只在于下载的文件的区别。
我写一个程序1.exe从c:\test.txt读取url,下载文件，请问你应该怎样定位。
定位在1.exe上？可是你又不知道c:\test.txt里是不是正常url。
定位在test.txt上？可是test.txt只是个txt文件啊。。
傻了吧。。

回复 25楼 522586971 的帖子

所以啊。。。

恶意程序与正常程序没有什么区别

你为啥就说这个是病毒捏，我可以说单纯这个东西是无害的，但是你就是要杀掉，这不是误杀是啥。。
同样的还有autorun.inf，当然现在普遍都是杀掉这个东西了。。可要是我就是需要autorun来实现我需要的功能这时候不是误杀么？