转自太平洋电脑网：奇虎360杀毒首度参加AV-C即获得标准认证，附AV-C测试报告原文！！

z13667152750

回复 100楼 zhang_guo_shuai 的帖子

还有BD启发呀

不过在360卫士中,这个是可选安装的

不过响应时肯定会压缩上传

tokthoo

橡果公爵 发表于 2011-4-19 20:19
回复 92楼 zhang_guo_shuai 的帖子

楼主不必和360洗脑党争论。

我们洗脑党有两种人不会进行洗脑的。
1）脑残
2）阁下那么精明的人。
所以请别担心

tokthoo

回复 92楼 zhang_guo_shuai 的帖子

那么我实在很好奇为什么金山会误报avast package，avira package等等的东东了。
你知道吗？

zhang_guo_shuai

tokthoo 发表于 2011-4-19 23:32
回复 92楼 zhang_guo_shuai 的帖子

那么我实在很好奇为什么金山会误报avast package，avira package等等的 ...

呵呵，不解释了，你随便想吧，怎么想都行，无论是想这个问题本身、还是想我是怎么想的

ZJUER

回复 89楼 zhang_guo_shuai 的帖子

呵呵……很不幸……绝大多数安软的特征都取在字符串里……黑客做免杀极容易……把大写改小写……小写改大写就过了……

zhang_guo_shuai

ZJUER 发表于 2011-4-20 17:13
回复 89楼 zhang_guo_shuai 的帖子

呵呵……很不幸……绝大多数安软的特征都取在字符串里……黑客做免杀极 ...

呵呵，你没有看清楚我前面说的是什么，理解成这样也难怪。我这里指的是那个人提到的程序发行时的语言版本，就是中文、俄文什么的，你说的那个是程序内部的变量标识什么的吧，咱俩说的不是一个东西。

ZJUER

回复 106楼 zhang_guo_shuai 的帖子

不是的，我说的就是你所说的问题，你先要了解杀毒软件的工作机理和大多数软件的语言呈现

特征值如果取在指令上，会发生严重误报，这种情况有两个解决办法，一个是卡巴等一些厂商那种，通过连续的五个到六个地址偏移量的指令来作为一个特征，这个好处是免杀难做，但是速度慢，吃资源，另一个则是取字符串为特征，这个速度快，但是免杀极好做。绝大多数厂商会采用后者或者是两者混用的手法

而对于语言版本，除了微软等国际大型厂商会采取语言分离的设计外，其余的厂商都采取字符串翻译的方式，也就是说，语言版本不同的同一软件，内部的字符串是完全不同的，如果厂商针对某国语言版本来制作的特征（即在对病毒定义时，避开该语言版本里面所有的字符串）而厂商并未得到其他语言版本，那么在其他语言版本里就极易出现误报

换言之，只有微软语言文件分离的厂商的软件才有可能做到对一个语言的核心文件不报，就对其他语言的核心文件不报

zhang_guo_shuai

ZJUER 发表于 2011-4-20 20:19
回复 106楼 zhang_guo_shuai 的帖子

不是的，我说的就是你所说的问题，你先要了解杀毒软件的工作机理和大 ...

哦~，原来你是这个意思啊，你的这个说法和我在96楼说的那种情况有点类似，如果是非常小的软件并且是特征引擎，倒也不是一点可能没有。不过你好像还是没有看清楚我前面说的是什么，这种语言版本的不同对启发引擎有用吗？科普一下吧。

ZJUER

回复 108楼 zhang_guo_shuai 的帖子

这种语言版本问题对启发式一般来说不会产生影响……启发式的特征几乎不会取到字符串上……

媚_妩

呵呵，祝贺下。