引用:

原帖由 iorittn 於 2008-3-29 01:02 發表
這類加殼後
防毒測不到的
是否在執行後能依行為分析去抓?

雖然行為分析本身就有很多難處....

市面上三強:
Panda->TruPrevent
Kaspersky->PDM
F-Secure->DeepGuaed

其中又以Panda和F-Secure做得比較人性化,這點是微點無法比擬的 .

Norman SandBox只能算是掃描用的,即時監控並沒有使用 .

引用:

原帖由 integear 於 2008-3-29 12:16 發表


市面上三強:
Panda->TruPrevent
Kaspersky->PDM
F-Secure->DeepGuaed

其中又以Panda和F-Secure做得比較人性化,這點是微點無法比擬的 .

Norman SandBox只能算是掃描用的,即時監控並沒有使用 .

卡巴PDM的強勢貌似在8版沒落

引用:

原帖由 asd890113 於 2008-3-30 11:08 發表
看完此篇
不管有多大的或有名氣的防毒，不代表100%保護的
目前有些免費版比付費版來的好
因此，所有防毒軟體也不代表100%而已
只是99%，而剩下1%是來*麻?
1%就是你ㄉ上網習慣...等等，而是否完全保護到
連1%做 ...

AntiVir是報殼報出高偵測率的 .

現在看來很有用,但是以後大量加花趨勢或出現新技術怎辦 ?

Kaspersky 8之前裝Alpha重開機,整個卡住,產生大量錯誤日誌,整個就很囧,等正式版出來再說吧 .

[ 本帖最後由 integear 於 2008-3-30 11:52 編輯 ]

引用:

原帖由 integear 於 2008-3-30 11:51 發表


AntiVir是報殼報出高偵測率的 .

現在看來很有用,但是以後大量加花趨勢或出現新技術怎辦 ?

Kaspersky 8之前裝Alpha重開機,整個卡住,產生大量錯誤日誌,整個就很囧,等正式版出來再說吧 .

現在已步入RC 版, 誇張點說有點失望

引用:

原帖由 000110 於 2008-3-30 11:55 發表

現在已步入RC 版, 誇張點說有點失望

感覺和 Beta 沒差幾多

安裝程式上 還是 Beta 字樣
沒改掉

引用:

加十個殼，一個沒加殼，病毒用OPTix pro
avast!、kaspersky漏掃一個，pc-cillin漏五個、norton漏七個

我記得PCC掃壓縮檔的次數最高才6層而以

[ 本帖最後由 伙計 於 2008-3-30 13:08 編輯 ]

引用:

原帖由 megakotaro 於 2008-3-26 12:52 發表

加殼其實很簡單......

但是寫個CRYPT演算法可不簡單啊……
以ANTIVIR免費版的散佈率來看，對這些用戶來說，你加殼等於是讓本來不報的病毒程式變會報，白費功夫（特別是常用的就是那幾款）……

所以這其實是市場佔有的問題，只要多數廠商不全面報殼，讓多數寫手或速成班（木馬產生器使用者）都習慣順手加殼，ANTIVIR就會保持他報殼殺法的詭異優勢。而且這些殼除了惡意程式外，大概也不會有多少人用（除少部份流通性低的小軟體），因此通殺帶來的損失還是會小於獲益。加花倒是另一個簡單迅速的變種方式（只是加花後還是忍不住加殼的人很多，照擋……）……


想請教，「免殺」的意思到底是？（很多詞太泛用反而看不出準確的意思為何）是指以這種方式修改後，原先特徵無法偵測。還是這種修改能讓該程式無法被偵測，就算寄樣本去給廠商，廠商也無法讓防毒偵測它？（不然哪能叫免殺，不就是新毒或新變種……）或是該程式一旦運行，之後防毒就殺不了它（那殺毒能力弱的軟體就一堆免殺）？

引用:

原帖由 SPeter 於 2008-3-30 14:02 發表

但是寫個CRYPT演算法可不簡單啊……
以ANTIVIR免費版的散佈率來看，對這些用戶來說，你加殼等於是讓本來不報的病毒程式變會報，白費功夫（特別是常用的就是那幾款）……

所以這其實是市場佔有的問題，只要多數 ...

免殺的定義很簡單, 不用想得太複雜
就是讓防毒軟體無法偵測

去年就已经和朋友在说，面对现在大量加壳加密修改的各种免杀木马，各大反病毒软件如果没有根本性的技术突破或整合，单一靠脆弱的“启发式”或“虚拟技术”来对抗层出不穷的东西，将会死的很惨。

引用:

原帖由 cyberarmy 於 2008-4-1 01:46 發表
去年就已经和朋友在说，面对现在大量加壳加密修改的各种免杀木马，各大反病毒软件如果没有根本性的技术突破或整合，单一靠脆弱的“启 ...

BD:B-HAVE
ESET:成熟的虛擬機
Kaspersky: PDM
F-Secure:DeepGuard
Panda:TruPrevent

這些都是對於殼的解決方法相當成功的例子 .

引用:

原帖由 hive 於 2008-3-31 22:46 發表


我的看法是報殼比較好
如果因為報殼所以蒐集到新的惡意程式樣本 那樣更好

以後有什麼樣的新技術 那以後再說 現在談什麼都沒有用
當下抓的到病毒 收集的到樣本最要緊

問題是,現在AntiVir採用大量報殼的偵測方式,不論威脅樣本區,AV-Test,AVC偵測率都是單引擎最高.

但是2,3年後,這種方法還能讓AntiVir偵測率保持最高嗎?

在下不清楚AntiVir是否有在開發新技術(HIPS,SandBox等...),但是目前看來是沒有的.

報殼退於流行,之後偵測率下降,支持者大量流失,上報的少之又少.這種情形是可見的.

反而其他偵測率不算太高的廠商倒是積極發展新的技術以對抗未來的威脅.

引用:

原帖由 hive 於 2008-3-31 22:46 發表
我的看法是報殼比較好
如果因為報殼所以蒐集到新的惡意程式樣本 那樣更好

以後有什麼樣的新技術 那以後再說 現在談什麼都沒有用
當下抓的到病毒 收集的到樣本最要緊

收集樣本是重要, 但對現在病毒增長速度異常的情況下, 即使收集到樣本, 防毒公司也未必可以及時分析
反而, 小弟認為分流樣本可能可以更有效讓分析員分析樣本
處理自己軟體報啟發式的威脅後, 才分析其他完全可以被偵測的病毒

引用:

原帖由 伙計 於 2008-3-30 13:07 發表


我記得PCC掃壓縮檔的次數最高才6層而以

我的意思是，一個最初的，未加殼的optix，剩下十個是分別用十款加殼程式加出來的，也就是說，每個病毒只有被加一次殼
而且，pc-cillin是指掃壓縮檔的層數，不是加殼的次數

引用:

原帖由 integear 於 2008-4-1 22:49 發表


問題是,現在AntiVir採用大量報殼的偵測方式,不論威脅樣本區,AV-Test,AVC偵測率都是單引擎最高.

但是2,3年後,這種方法還能讓AntiVir偵測率保持最高嗎?

在下不清楚AntiVir是否有在開發新技術(HIPS,SandBox等 ...

殼,應該還是會存在....
不然病毒不易於散佈,每個容量都會很大.....
殼的壓縮性不錯....
況且現在廣泛報殼的軟體市佔率都不高(尤其是企業界)


要讓殼消失,應該會兩個前提
1.出現壓縮性更好的技術
2.報殼的防毒軟體佔大多數((永遠不可能,尤其企業界))

引用:

原帖由 integear 於 2008-4-1 22:49 發表


問題是,現在AntiVir採用大量報殼的偵測方式,不論威脅樣本區,AV-Test,AVC偵測率都是單引擎最高.

但是2,3年後,這種方法還能讓AntiVir偵測率保持最高嗎?

在下不清楚AntiVir是否有在開發新技術(HIPS,SandBox等 ...

SandBox 掃瞄 在實機上運用 未必有太多優勢
因為以Norman 的 Sandbox為例，掃瞄速度太慢
如果沒有突破性的 加速 還真是耗時

[ 本帖最後由 andy 於 2008-4-4 10:32 編輯 ]

如果是這樣子說的話
panda的防毒似乎有個技術頗符合原PO的需求喔

TruPrevent™ 技術
何時出現新病毒或威脅，傳統的防毒軟體與安全防護方案需要數小時作
更新，而讓您的電腦出現暫時性的防護漏洞。最新一代的病毒與其他威
脅會利用此空檔產生的優勢而感染成千的電腦，不管您是否有安裝防毒
軟體，殺手(Sasser)與悲慘命運(MyDoom)便是發生在以前的例子。
TruPrevent™ 技術便是這種問題的解決方案：這些智慧型技術會分析
檔案或程式的行為，而自動封鎖那些企圖危害您電腦的檔案或程式。所
形成的結果便是在防毒軟體的防護之外再額外提供另一層的保護，甚至
在防毒軟體更新出現之前。

這個技術或許就像是一個啟發性的防毒技術
你可以考慮先去試用看看
應該網路上很容易就可以找到試用的連結吧