哎。。杀软的启发式到底有什么用啊。。。
哎。。杀软的启发式到底有什么用啊。。。似乎木马免杀做的好。启发再强也没用啊。。。我7月份买了个远控软件作者更新自然是免杀的,那些号称什么启发超强的杀软也没一个查到的啊。。[:07:] kis8.0 就新出的那几天有点用,我一试,晕。。被启发查到了。和作者一说,第二天论坛发布了一个补丁,往生成器上一打,kis就屁都查不到了。[:14:]所以得出一个 结论:木马免杀做的好,启发再强也枉然[:15:] 仔细想想还是HIPS比较实在。。虽然时代在变迁,穿它的马也会越来越多。。。。[:12:] 呵呵,你试试过卡巴斯基 交换防御模式+PDM+虚拟机启发,过得了卡巴特征容易,但MS现在没病毒过得了交换模式,病毒以运行加载驱动挂钩子之类的卡巴就报警了,一点阻止病毒就失效了,呵呵 特征码+启发是杀软普遍采用的技术,比较成熟,有效提高了查杀率。
可以去扫描区看看。ESET的战斗力基本在启发上。
另外。扫描区曾经有红伞纯引擎测试,可供参考。 哪有這樣的好事 KB的应用程序过滤现在都没有太好的方法过,启发没什么用?前瞻性防御中,启发很重要,你说的那些都属于特定性免疫了,真想过启发也不是很难[:23:] 看来一山更比一山高! 始终是道高一尺,魔高一丈[:06:] 有了FW 你那个远程控制什么也没用了 答:启发式已经没用了,[:xi20:] [:xi20:] [:xi20:] 每天10万多新的变种已经让启发式宣告死亡了
回复 1楼 蓝色v月光 的帖子
你说的是卡巴的扫描启发吧,这种启发本身就不是万能的!ESET引以为傲的启发不也是不能达到100%的吗? 这么叫嚣。。。有针对免杀有用么?杀毒软件不光是扫描还有防御!遇上带壳入库的,直接over。特征码和广谱对于对于一般的木马还是很有用的。 LS的,我说的意思是楼主过得了卡巴扫描启发,过不了 PDM+交换模式,呵呵回复 11楼 wangfuxin 的帖子
现在谁做免杀 还用加壳这种方法 [:06:] [quote]原帖由 [i]woai_jolin[/i] 于 2008-8-13 11:47 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4479091&ptid=305506][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]现在谁做免杀 还用加壳这种方法 [:06:] [/quote]
我是说修改敏感特征码最终还是要加壳的。。。 晕 光过了扫描有毛用啊
放个木马到别人机子里不运行除了占用磁盘空间以外有什么危害?
运行是关键 你放到虚拟机下试试
别说是用交互式的高手了 估计连卡巴的自动模式都过不了[:xi17:] [:xi17:] [:xi17:] 同意楼上的,所以啊,楼主别太叫嚣了,卡巴交换你是别想过了,呵呵 启发还是很管用的(*^__^*) 嘻嘻…… 带壳入库 容易,直接带壳修改特征码就好了
你要是愿意出钱,可以找byshell的作者定制byshell个人版,你们会发现他能穿 卡巴2009的交互式模式和微点主防,以及ZA等常见防火墙
PS:免费木马目前为止没一个能过主防,不过收费木马有少部分能,byshell就是其中之一,不过价格不菲。。。
启发式强的话(典型代表是NOD32),免杀是很难做的,你这个木马因为是作者帮你免杀,他有源代码,NOD32杀了,他修改下源代码,改变文件和代码的结构就能过,但是对于其他没有源代码的人,如果该病毒已经入库,想要免杀是很难的,只有多层加壳,或者手工改壳,让佬壳变异成新壳,但是这样又容易被卡巴之类的对壳敏感的杀软查杀
[[i] 本帖最后由 fzq198776 于 2008-8-14 16:12 编辑 [/i]] 查杀未知病毒[:14:] [:08:] 电脑一直保持关机才是真正的王道![:14:]
页:
[1]
2