引言 :
病毒特徵碼對偵測惡意軟體來說可以是一項不可或缺的偵測方法, 過去與現在都是, 將來的電腦世界亦應該如此
可是這裡卻很少有關病毒特徵碼的討論, 即使之前有討論過的都只是表面 (如: 特徵碼的好壞等) 亦不是本質問題
有幸可以趁這個機會由小弟說明大家一直未有詳細討論過的病毒特徵碼的構成結構

何謂病毒特徵碼 :
最簡單, 亦是最多人知的: 病毒特徵碼就是一段獨一無二的字串或 16進制編碼, 它代表著一個或一系的惡意軟體, 而防病毒軟體在掃瞄檔案時需依據它來判斷檔案是否為惡意軟體
不過定義病毒特徵碼不是重點, 只要知道它是甚麼就可以了, 重點是以下的部份

建立病毒特徵碼 / 病毒特徵碼的結構 :
建立病毒特徵碼其實不難, 只要符合上述提到的獨一無二的條件就可以.
大體來說, 就小弟的知識, 可以有 4 種方法建立病毒特徵碼, 亦即是說會有 4 類病毒特徵碼結構.

第一類 : MD5 + 檔案大小
這一類是最簡單的, 亦不應有很多防病毒軟體在使用, 因為太過單一性, 會使病毒特徵庫變得很大.
建立方法/結構: 提取檔案的 MD5 數值. 當然是不會單單使用 MD5 數值, 通常這一類會與檔案大小一同使用來構成病毒特徵

第二類 : 區段的 MD5 + 區段的大小
這一類開始, 建立會變得複雜, 亦不會像第一類對惡意軟體太過專一, 但這一類仍然不是主流所使用的.
建立方法/結構: 提取檔案中某區段的 MD5 數值配合該區段的大小來構成病毒特徵

第三類 : 位移 + 特徵片段 // 特徵片段 // 多重位移 + 特徵片段
這一類是主流所使用, 彈性增加, 單一性降低. 可惜這一類不及第四類的擴充性, 建立不當可能會造成異常大的病毒特徵庫.
建立方法/結構: 假定檔案位移, 然後由這位移為開始, 提取一段 16進制的特徵片段, 當中這段特徵片段可以使用萬用字元取代某幾個字節來提高彈性. 如果不涉及位移, 提到的假定檔案位移當然不需要. 如果是多重特徵片段, 各特徵片段需同時符合.

第四類 : 邏輯特徵片段
這一類是最複雜的. 雖然都是建立特徵碼的主流之一, 但不及第三類的多.
建立方法/結構: 分析病毒並提取數段 16進制的特徵片段 (當中這些特徵片段可以使用萬用字元取代某幾個字節來提高彈性), 配合邏輯條件建立特徵碼.

評論 :
第一及第二類應該不須評論了, 自己想一想已有數不盡的弊處.

第三類 :
利: 快速建立特徵碼, 快速掃瞄, 高彈性
弊: 誤判時, 有機會要重新修改特徵碼, 特徵碼白名單要分開

第四類 :
利: 高擴充性, 特徵碼白名單可以合併一起
弊: 建立特徵碼較慢, 掃瞄時間延長

後話 :
第三類及第四類混合使用可會建立一強而有效的病毒特徵庫, 可惜同時使用就意味著要建立兩個引擎, 這應該是安全廠商不想/願會發生的事. 不論他們願不願意, 亦必需有一些改革來面對威脅爆發的電腦世界, 否則要繼續在這戰場立足是不太可能的. 前一句說的不是 HIPS, Collective (Cloud) Technology 等技術是必須整合到防病毒軟體中, 而是單一的防病毒軟體不能保障我們的電腦安全.

PS. 本文章由 KiNg 在 AVPClub 編寫及發表. 可以轉載 URL, 但請勿轉載整篇文章到其它論壇!!

引言 :
2009 由beta 1 版到目前的rc2版本改善的地方有很多, 與2008比較, 最為突出的有3項轉變
1. 界面
2. 引擎 及
3. 行為監控
而今次就是要探討的是2009的行為監控

技術 :
(由於到目前為止仍未收到GDATA的回覆, 這部份會待回覆後補回, 對此事深感抱歉 )

測試 :
為了證明行為監控的能力, 小弟搜集了不少樣本, 而這些樣本都不會被特徵碼日期為21/8/2008所偵測.

樣本一 :
行為 :

QUOTE:

建立檔案
目錄	檔案
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt1.tmp
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt6D.tmp
C:\Documents and Settings\使用者名稱\Local  Settings\Temp\	.tt1.tmp.vbs
C:\Windows\System32\	blphc35dj0erc1.scr
C:\Windows\System32\	lphc35dj0erc1.exe
C:\Windows\System32\	phc35dj0erc1.bmp
C:\Windows\System32\Restore\	MachineGuid.txt

QUOTE:

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run	lphc35dj0erc1	C:\Windows\System32\lphc35dj0erc1.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software  Notifier	InstallID	69f3c199-439e-4507-bc0b-2407cecad524
HKEY_CURRENT_USER\Control Panel\Desktop	ConvertedWallpaper	C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop	SCRNSAVE.EXE	C:\Windows\System32\blphc35dj0erc1.scr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispBackgroundPage	0x00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System	NoDispScrSavPage	0x00000001
HKEY_CURRENT_USER\Software\Sysinternals\Bluescreen  Screen Saver	EulaAccepted	0x00000001

QUOTE:

修改註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\SystemRestor	DisableSR	0x00000000
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders	AppData	C:\Documents and Settings\NetworkService\Application Data
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell  Folders	Cache	C:\Documents and Settings\NetworkService\Local Settings\Temporary  Internet Files
HKEY_CURRENT_USER\Control Panel\Colors	Background	0 0 255
HKEY_CURRENT_USER\Control Panel\Desktop	ScreenSaveActive	1
HKEY_CURRENT_USER\Control Panel\Desktop	Wallpaper	C:\Windows\System32\phc35dj0erc1.bmp
HKEY_CURRENT_USER\Control Panel\Desktop	WallpaperStyle	0
HKEY_CURRENT_USER\Control Panel\Desktop	OriginalWallpaper	C:\Windows\System32\phc35dj0erc1.bmp

QUOTE:

網路連線

GDATA 的行為監控結果 :
成功偵測到 Startup 的行為

行為的詳細資料




成功把檔案移動到隔離區


樣本二 :
行為 :

QUOTE:

建立檔案
目錄	檔案
C:\Windows\	1.bat
C:\Windows\Help\	B41346EFA848.dll
C:\Windows\Help\	B41346EFA848.exe
C:\Windows\System32\	2.bat

QUOTE:

插入處理程序
目標程式	插入的模組
C:\Windows\explorer.exe	C:\Windows\Help\B41346EFA848.dll
C:\Program Files\messenger\msmsgs.exe	C:\Windows\Help\B41346EFA848.dll
C:\Windows\System32dllhost.exe	C:\Windows\Help\B41346EFA848.dll
C:\Windows\dns\sdnsmain.exe	C:\Windows\Help\B41346EFA848.dll
C:\Program Files\internet  explorer\iexplore.exe	C:\Windows\Help\B41346EFA848.dll

QUOTE:

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32	(Default)	C:\Windows\Help\B41346EFA848.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32	ThreadingModel	Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}	(Default)	SSUUDL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks	{1DBD6574-D6D0-4782-94C3-69619E719765}

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染




樣本三 :
行為 :

QUOTE:

建立檔案
目錄	檔案
C:\Documents and Settings\All Users\Application Data\fyhilcnk\	nevedqfm.exe

QUOTE:

建立註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run	dvZRWdGoeW	C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe
HKEY_CURRENT_USER\Software\Uninstall	dvZRWdGoeW	0x48BFA73A

QUOTE:

開啟連接埠
應用程式	協定	連接埠
C:\Documents and Settings\All Users\Application Data\fyhilcnk\nevedqfm.exe	UDP	隨機

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染



樣本四 :
行為 :

QUOTE:

建立檔案
目錄	檔案
C:\Windows\System32\	j3ewro.exe
C:\	autorun.inf
C:\Windows\System32\	jwedsfdo0.dll
C:\Windows\System32\	jwedsfdo1.dll
C:\Windows\System32\	jwedsfdo2.dll

QUOTE:

插入處理程序
目標程式	插入的模組
C:\Windows\explorer.exe	C:\Windows\System32\jwedsfdo2.dll

QUOTE:

建立註冊表
路徑	名稱	數值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run	jvsoft	C:\Windows\System32\j3ewro.exe

QUOTE:

修改註冊表
路徑	名稱	數值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL	CheckedValue	0x00000000

QUOTE:

下載檔案
URL	目標資料夾
http://www.12aas.org/xjj/cc1.rar	C:\Documents and Settings\使用者名稱\Local Settings\Temp\

GDATA 的行為監控結果 :
無法偵測到可疑行為, 系統已感染






結論 :
就這次所使用的樣本來看, 行為監控的效果似乎沒有想像中的嚴謹, 很多行為都無法攔截, 連自動執行的註冊表路徑也沒有完全監控, 看來GDATA 2009 行為監控似乎與2008的註冊表監控差不多, 可能僅是換個名稱而已.

期望 :
作為使用者, 當然希望防毒軟體更完美, 尤其在現在的趨勢來看, GDATA 不應再單靠引擎的掃瞄來提高已知或未知的威脅, 既然已經早在2007時代加入註冊表監控的功能, 可惜功能仍有待進一步的改善.

估計 :
由於這次的結果真是大失所望, 估計導致的原因有一 :
德文版GDATA  2009的行為監控僅對應德文版的Windows (可能是因為規則中的路徑都是德文...)
因此要待英文版釋出作進一步的測試

最近忙得很, GDATA 2008 系列 正體中文化第一版終於完成
較預定日子相差很遠, 而且只是以單純的自解壓縮檔封裝, 十分抱歉

另外, 暫定會發佈第二版, 修正所有第一版出現的問題 (包括 : 界面修正, 字詞修正...), 因此希望各位提供意見 (PM / E-Mail)

下載點 : http://www.adrive.com/public/aec ... ef5aa03ffee6b3.html

密碼的顯示方式一如以往, 請不要把密碼貼到論壇

GDATA 2008 系列 中文化預覽圖!

終於完成 GDATA 系列的中文化 (包括 GDAV, GDIS 及 GDTC)

已知重要問題 :
1. 部份詞彙未統一 (註冊表 Vs 系統登錄, 網路 Vs 網絡 等)
2. 部份日期設定無法調整
3. "備份" 的水準很低
4. ASCII 字串尚未翻譯

已不期望有人會協助完善 GDATA 系列的中文化, 小弟會把大部份圖片上傳
從下列圖片中找到任何中文化錯誤或未中文化的地方, 並依下列回覆規格反映, 將予以評分 (但重覆者將不會予以評分)

CODE:

錯誤類型 :
圖片編號 :
錯誤地方 :
修正建議 :

QUOTE:

例子 (1)
錯誤類型 : 中文化錯誤
圖片編號 : 圖片_11
錯誤地方 : 已刪減
修正建議 : 已刪除

例子 (2)
錯誤類型 : 顯示問題
圖片編號 : 圖片_12
錯誤地方 : 字串 "應用程式" 未能完全顯示
修正建議 : N/A

預覽圖 :
安全中心
(圖片_1)

防毒軟體       
(圖片_2)       
(圖片_3)       
(圖片_4)       
(圖片_5)       
(圖片_6)       
(圖片_7)       
(圖片_8)       
(圖片_9)       
(圖片_10)       
(圖片_11)       
(圖片_12)       
(圖片_13)       
(圖片_14)       
(圖片_15)       
(圖片_16)       
(圖片_17)       
(圖片_18)       
(圖片_19)       
(圖片_20)       
(圖片_21)       
(圖片_22)       
(圖片_23)       
(圖片_24)       
(圖片_25)       
(圖片_26)       
(圖片_27)       
       
防火牆       
(圖片_28)       
(圖片_29)       
(圖片_30)       
(圖片_31)       
(圖片_32)       
(圖片_33)       
(圖片_34)       
(圖片_35)       
(圖片_36)       
(圖片_37)       
(圖片_38)       
(圖片_39)       
(圖片_40)       
(圖片_41)       
(圖片_42)       
(圖片_43)       
       
垃圾郵件防護       
(圖片_44)       
(圖片_45)       
(圖片_46)       
(圖片_47)       
(圖片_48)       
(圖片_49)       
(圖片_50)       
(圖片_51)       
       
網頁篩選       
(圖片_52)       
(圖片_53)       
(圖片_54)       
       
家長監護       
(圖片_55)       
(圖片_56)       
(圖片_57)       
(圖片_58)       
(圖片_59)       
(圖片_60)       
(圖片_61)       
       
微調       
(圖片_62)       
(圖片_63)       
(圖片_64)       
(圖片_65)       
(圖片_66)       
(圖片_67)       
(圖片_68)       
(圖片_69)       
(圖片_70)       
       
備份       
(圖片_71)       
(圖片_72)       
(圖片_73)       
(圖片_74)       
(圖片_75)       
(圖片_76)       
(圖片_77)       
(圖片_78)       
(圖片_79)       
       
其它       
(圖片_80)       
(圖片_81)       
(圖片_82)       
(圖片_83)

[ 本帖最後由 000110 於 2008-6-2 21:05 編輯 ]

簡介 :
修改自解壓縮檔是黑客用來掩釋惡意程式的其中一使用方法
目前來說, 效果不錯, 可以避開大部份不含主動防護的防毒軟體 (參考 : VirusTotal 報告)
為止, 這特徵碼可以在掃瞄/執行前, 透過PEiD分析檔案是否修改過的自解壓縮檔

使用步驟 :
1. 複製底下的代碼

CODE:

[RAR SFX (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 61 75 27 80 7A 02 72 75 21 80 7A 03 21 75 1B 80 7A 04 1A 75 15 80 7A 05 07 75 0F 80 7A 06 00 75 09
ep_only = false

[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
signature = 80 3A 52 75 2D 80 7A 01 ?? 75 27 80 7A 02 ?? 75 21 80 7A 03 ?? 75 1B 80 7A 04 ?? 75 15 80 7A 05 ?? 75 0F 80 7A 06 ?? 75 09
ep_only = false2. 開啟 userdb.txt 並貼上

3. 已安裝xInfo外掛程式的, 可以複製底下的代碼到xInfo.txt

CODE:

[RAR SFX Modification -> Possible Malware (Sgin by 000110@AVPClub)]
Info=Possible Malware, Usually be used by Hacker (Sgin by 000110@AVPClub)注意事項 :
1. 即使知道檔案是修改過的自解壓縮檔, 也不要嘗試透過WinRAR開啟檔案, 這會導致檔案執行

因不當使用這輔助檔所引致的問題, 小弟恕不負責

Ps. 有關問題 (如 : 建議, 錯誤等) 可回覆這文章或PM小弟

[ 本帖最後由 000110 於 2008-3-22 00:00 編輯 ]

前言 :
在上一次的教學中, 說了中文化的背景, 還未開始進入正式的學習階段.
大家都可能很焦急, 究竟常用的中文化工具是哪幾款, 性能如何, 大家的腦內可能充滿中文化工具的樣子.
現在就開始進入教學 (2)

內容 :
開始中文化前, 當然不可缺少用來中文化的工具, 這些工具可使我們在翻譯時, 更輕鬆, 更準確.
中文化的工具有很多, 為方便大家了解中文化的工具, 我先將它們分類, 當大家中文化需要用到手上沒有的工具時, 也可以輕鬆尋找.

以勉強稱得上是業餘的人仕的我的角度, 首先會分為兩大類 - 大型中文化軟體 及 輕便中文化工具
1.) 大型中文化軟體 : 檔案大小較大, 通常要安裝, 主要用來翻譯較大型的軟體, 涉及翻譯的字串較多
2.) 輕便中文化工具 : 檔案大小較小, 通常無須安裝, 用來翻譯較細小的軟體或輔助大型中文化軟體, 涉及翻譯的字串較少

然而, 分為兩大類也是不足的, 所以再在輕便中文化工具細分三個分類
2.1) 常規資源工具 : 檢視, 修改檔案的 Unicode 資源的工具
2.2) 非常規資源工具 : 尋找, 修改檔案的 ASCII 資源的工具
2.3) 翻譯輔助工具 : 輔助工具, 內容可以很廣泛

完成分類後, 再來就是各個分類的例子及介紹
1.) 大型中文化軟體 :
Visual Localize : 專業的翻譯工具, 可製作字典檔, 用於為未來的版本中文化


Passolo : 專業的翻譯工具, 可製作字典檔, 用於為未來的版本中文化, 而且支援外掛程式, 來增強功能

2.) 輕便中文化工具 :
2.1) 常規資源工具 :
ResHack : 資源編輯工具, 這工具有很多功能, 可以幫助翻譯, 唯一缺點是部份脫殼後的檔案, 要再經修改, 才可正常編輯


eXeScope : 資源編輯工具, 可以把非 XP 樣式的界面轉換到 XP 樣式, 也是部份脫殼後的檔案, 要再經修改, 才可正常編輯


ResScope : ResTools 系列的資源編輯工具, 又是一款不錯用的工具, 功能與 ResHack 不相百, 而且沒有 ResHack 的缺點


GetVBRes : ResTools 系列的 VB 資源編輯工具, 是一款為 VB 編寫的軟體翻譯的工具


2.2) 非常規資源工具 :
CXA : 由黃權燊編寫的工具, 用來翻譯英文到中文的非字串, 當中包含了字典檔, 減輕中文化製作者的工作量


CXAT : 由黃權燊編寫的工具, 用來翻譯簡體文到正/繁體中文的非字串, 當中包含了字典檔, 減輕中文化製作者的工作量


GetStrRes : 也是 ResTools 系列的工具, 雖然說是 GetVBRes 的外掛程式, 但是可以獨立使用, 不過不建議使用這工具, 用 UltraEdit + Cxa/Cxat 代替會更好


2.3) 翻譯輔助工具 :
UltraEdit : 一款不錯多十六進制編輯器, 很多時完成翻譯, 在中文化的後期, 也要用到它來修改檔案
ResFree : 又是 ResTools 系列的工具, 把檔案的資源釋放, 常用於無法脫殼的檔案上, 但有時效果會未如理想


rva : 字串位置轉換工具, 由於非常規資源會限制字串的長度, 對於長度不足時, 就是這工具發揮功效的時候


當然, 中文化工具不只以上數款, 同種類還有很多選擇, 各位可因應個人喜好挑選覺得方面使用的工具
但如果覺得各款工具也差不多, 一樣容易上手
建議採用這個組合 :
Passolo : 翻譯大形軟體時使用
ResHack + ResScope : 翻譯軟體時使用
CXA + CXAT + UltraEdit + rva : 翻譯非常規資源時使用
ResFree : 無法脫殼時使用

希望大家找到合心的中文化工具

<<待續>>

預告 :
下次教大家這些工具的使用
標題 : 中文化教學 (3) : 中文化工具的使用
日期 : 4 月下旬

前言：
首先，這一套教學未非出自甚麼中文化專家的手筆，只是由一位勉強稱得上是業餘的人仕製作。
目的是希望更多人知道中文化的存在，重要性，學會如果把軟體中文化，最重要一點是希望在愈來愈少人製作中文化的階段，有更多人因此對中文化感到興趣。
如果您是中文化專家，這篇文章可能不適合您，但也希望您可以看完這套教學，給作者的我一些回饋及指正一些錯誤。
如果對中文化感到興趣的您，這套教學很適合您，可以讓您開始中文化的生涯，也希望您可以參與討論，一齊增長對中文化的知識。
如果您是中文化請求者，希望您可以看完這套教學，知道中文化作者的辛苦，也希望您可以對中文化感到興趣，開始自行製作，擺脫中文化請求者的稱號。

內容：
中文化這詞語，對大家來說應該不陌生。
無論是請求者或是製作者的您，都同時指出中文化這詞語在其文章中或作品內。
事實上，中文化這詞語的使用並不恰當，需知道中文化其實來自英文 Localization，意思即是本地化。
不過在長期的錯誤使用下，大家都已接受中文化這詞語。

說了中文化的來源及解釋後，再來就是中文化的定義了。
其實何謂中文化至今仍未有明確的闡釋，究竟是軟體界面成功翻譯為中文就代表中文化，還是軟體界面由原始語言翻譯為中文代表中文化?
即使之前有一批中文化的專家討論過一番，但仍未有清晰的定義，對我這位勉強稱得上是業餘的人仕的人來說，我會較認同後者。
可能中文化的定義對您來說可能毫無關係，但如果統一中文化這詞語的定義，對中文化軟體的質素一定大有提升，不再會出現一些粗製濫造版本。

對我以言，中文化可分為兩大類 － 軟中文化 及 硬中文化
軟中文化：通常是代理商或軟體公司使用到的方法，是在得知原代碼的情況下對軟體進行翻譯，通常這方法得出的軟體會較完美，較少錯誤。
硬中文化：大部份中文製作者用到的方法，與軟中文化恰好相反，是在沒有原代碼的情況下對軟體進行翻譯，這種方法可翻譯任何軟體，但由於被程式碼所限制，可能導致得出的版本不完全中文化，甚至錯誤。

稍後的教學將集中教大家如何以硬中文化的方法製作出媲美軟中文化的版本

<<待續>>

預告：
下次教大家進行中文化前準備的工具
標題：中文化教學 (2) : 常用的中文化工具介紹
日期：待定

[ 本帖最後由 000110 於 2008-3-6 15:50 編輯 ]

前言 :
自從測殼結果公佈後, 對這套不是很多人使用的防毒軟體開始感到興趣,
不很出名的它卻有著難以抗拒的魅力, 有著可以成為防毒大廠的潛力

簡介 :
VBA32 全名 VirusBlokAda, 意思是"病毒攔截幫手", 是一款出產自白俄羅斯的防毒軟體
它採用以下3款技術, 以偵測已知及未知惡意程式
啟發式分析器 (Heuristic analyzer) : 偵測未知的惡意程式
動態代碼轉換處理模擬器 (Dynamic code translation processor emulator) : 處理經過繁雜加密的惡意程式
MalwareScope™ : 偵測同一系列的變種

界面 :
主畫面


設定



更新



掃瞄






監控
主畫面

檔案防護





撥號程式防護


郵件過濾



Outlook Plugin

指令碼過濾


隔離區



測試 :
偵測率測試
AVPCLUB上, 12月至1月的病毒樣本, 共1032個檔案
偵測率 : 89.24% (計算方式 : (912+9)/1032*100)
掃瞄時間 : 01 小時 29 分 45 秒
掃瞄設定 : 最大


自我防禦測試
Advanced Process Termination 4.0

結果

Suspend 1 : PASS	Kill 5 : PASS	Kill 11 : PASS
Suspend 2 : PASS	Kill 6 : PASS	Kill 12 : PASS
Kill 1 : PASS	Kill 7 : PASS	Kernel Kill 1 : PASS
Kill 2 : PASS	Kill 8 : PASS	Kernel Kill 2 : PASS
Kill 3 : PASS	Kill 9 : PASS	Crash 1 : PASS
Kill 4 : PASS	Kill 10 : PASS	Crash 2 : PASS

Simple Process Termination 1.0.0.2

結果                                

Method 1 : PASS	Method 7 : PASS	Method 13 : PASS
Method 2 : PASS	Method 8 : PASS	Method 14 : PASS
Method 3 : PASS	Method 9 : PASS	Method 15 : PASS
Method 4 : PASS	Method 10 : PASS	Method 16 : PASS
Method 5 : PASS	Method 11 : PASS
Method 6 : PASS	Method 12 : PASS

資源佔用 :
閒置


掃瞄時


優點 :
1. 解殼能力不俗
2. MalwareScope™ 技術增加了不少的偵測率
3. 支持多國語言
4. 自我防禦不俗

缺點 :
1. 最大設定下, 掃瞄時間極長
3. 沒有 HIPS

總結 :
VBA32給人的整體印象不錯, 可惜長的掃瞄時間是其致命傷
而且試用手續繁複, 導致VBA32不能普及

後感 :
由於第一次使用SPT測試, 不清楚它顯示的Test failed 是否就是代表無法終止程式
所以自我防禦測試的結果有待驗證

前言 :
其實這次的測試, 純粹偶然, 本身沒有想過會做這測試, 亦不想做
因為多重殼的測試準備功夫很多, 究竟是要用哪配搭做測試? 用哪種方式加多重殼? 哪個殼先加, 哪個後加? 哪幾個殼要加? 等等,都要一一考慮
但在偶然的機會下, 本身是為了研究ESET的虛疑能力, 加了數款單一殼, 到後來加多重殼, 因當中有少少的問題, 導致這個結果出現
由於多種因素都沒有考慮, 結果的準確性有待驗證

測試形式 :
加多重殼後, 測試可行性, 上傳到VirusTotal掃瞄

加殼方式 :

1. ntdlr.com -> 原始檔案
2. ntdlr.exe -> 1) KByS 2) FSG
3. 複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack
4. 複製 -複製 -aspack -ntdlr.com.out -> 1) ASPack 2) NSPack 3) NakedPack 4) FreeRes + Yoda

測試結果 :

1. http://www.virustotal.com/analis ... 8fb508f052a839d91ae
   
2. http://www.virustotal.com/analis ... 834edf7ba909cc1030e
   
3. http://www.virustotal.com/analis ... 4e0876172709be8e38e
   
4. http://www.virustotal.com/analis ... 4e0876172709be8e38e
   

測試排名 (首2名) :
計算方式為, 與原始檔報同一樣的名稱

防毒軟體名稱

成績*1



1. BitDefender / (NOD32v2*2)

   (3/3)

   
   
2. Ewido / VBA32

   (2/3)

   
   

其他的都不排名了, 因為只掃到1個, 而且數量眾多, 沒有意思

註 :
*1 : 只考慮加了殼的3個樣本
*2 : 大家會問, NOD32v2 報啟發, 對其他防毒軟體不公平
的而且確大家可能會因此覺得這測試好像是偏袒NOD32v2, 但其實NOD32v2 的啟發式與傳統的特徵碼掃瞄很相似, 只要加了不認識的殼, 就無法偵測, 詳細可參考這篇http://www.avpclub.ddns.info/dis ... 73182&ptid=8577
當然亦不排除NOD32v2對某些加殼樣本是啟發式偵測的, 更詳細的結果, 要待入庫後才知道, 因此有括號()

樣本也公佈了, 希望各位不要用來害人, 亦要小心檔案
因為, 檔案的圖示容易使其他人執行
如因這些樣本導致的任何問題, 本人恕不負責

[ 本帖最後由 000110 於 2008-2-23 22:36 編輯 ]

Sample.rar
(2008-02-23 22:33:41, Size: 143 kB, Downloads: 1)

本來打算寫一篇防毒軟體報啟發式的名稱, 但花了很多時間也只完成了數款防毒軟體
所以就擱置了, 反而對Eset報啟發式的名稱有興趣

看到 variant 這個字, 大概可以想到"變種"
但是到底"變種"會是特徵碼依據的還是啟發式?

事實上, Eset 報 variant 既是特徵碼依據又是啟發式
以目前手上的樣本來分析, 仍然很難可以介定哪些報的名稱是特徵碼依據, 哪些報的名稱是啟發式

但就目前來說, 大體上(80%可靠)
特徵碼依據 : 類別名
啟發式 : 包含子分類

例如 :

1. probably a variant of Win32/TrojanDownloader.Delf trojan
   底線間的是類別名, 所以這次報的"變種"是特徵碼依據
   
   
2. probably a variant of HTML/Exploit.Agent trojan
   底線間的是類別名, 所以這次報的"變種"是特徵碼依據
   
   
3. probably a variant of Win32/PSW.OnLineGames trojan
   底線間的是類別名, 所以這次報的"變種"是特徵碼依據
   
   
4. probably a variant of Win32/PSW.Agent.NDP trojan
   底線間的照樣是類別名, 但斜體字是子分類,  所以這次報的"變種"是啟發式
   
   
5. a variant of Win32/PSW.OnLineGames.NFN trojan
   底線間的照樣是類別名, 但斜體字是子分類,  所以這次報的"變種"是啟發式
   
   
6. probably a variant of Win32/PSW.OnLineGames.NEP trojan
   底線間的照樣是類別名, 但斜體字是子分類,  所以這次報的"變種"是啟發式
   

但是由於只有80%可靠, 所以會有例外

1. a variant of Win32/Jalous worm
   底線間的是類別名, 但是這次報的"變種"是啟發式
   
   
2. probably a variant of Win32/Genetik trojan
   底線間的是類別名, 但是這次報的"變種"都是啟發式
   

總結而言,
特徵碼依據的範圍較大
啟發式的範圍會更仔細

可能這些資料對長期使用Eset的人來說, 不是新鮮事
但也希望給予補充

引言 :
首先感謝下列各位的熱心幫助
a750828, andy, couldsst, Integear, Proll, shisin, SPeter, uegajde, 小韋, 無言啦
如沒有他們, 這次測試一定不會如此順利

測試模式 :
這次測試以32款殼(包括 : 商業用及免殺用)測了30款防毒軟體
測試樣本5個, 當中3個含惡意程式 (a,b,c), 2個是正常檔案 (d,e)
分別有兩種測試模式 (1)預設設定 及 (2)最大設定
預設設定 : 防毒軟體的預設設定
最大設定 : 所有影響防毒軟體掃瞄的設定皆調較到最大

圖表 :
防毒軟體分別以最大設定及預設設定偵測樣本a, 圖示為最大設定及預設設的偵測率及預設設定的解殼率


防毒軟體分別以最大設定及預設設定偵測樣本b, 圖示為最大設定及預設設的偵測率及預設設定的解殼率


防毒軟體分別以最大設定及預設設定偵測樣本c, 圖示為最大設定及預設設的偵測率及預設設定的解殼率


防毒軟體分別以最大設定及預設設定偵測樣本d, 圖示為最大設定及預設設的誤報率


防毒軟體分別以最大設定及預設設定偵測樣本e, 圖示為最大設定及預設設的誤報率


結果 :

防毒軟體名稱	解殼名次
VBA32	1
Dr.Web	2
F-Secure	3
Kaspersky 7	3
Avast!	5
Kaspersky 8	5
Symantec Norton	7
江民	8
Bitdefender	9
金山	10

防毒軟體名稱	誤報名次
CA Anti-Virus	1
Eset NOD32	1
Panda	1
FortiClient	4
ArcaVir	5
Trend Micro	6
VBA32	6
Avira AntiVir	8
McAfee	8
Symantec Norton	8

測試的限制 :
由於這次測試中, 樣本比較少而且不少防毒軟體未能偵測原始檔, 難以準確顯示出各防毒軟體的解殼能力

簡評 :
小弟不可能對全部軟體皆作出簡評, 故只揀選較多人使用的及明顯問題的防毒軟體, 簡評只局限這次測試
Avast! : 解殼率不錯
Avira AntiVir : 解殼率一般, 最大設定的誤報率 (主要是報殼)亦不算嚴重
Bitdefender : 解殼率高, 是因為BHAVE的關係
Dr.Web : 解殼率不錯
Eset NOD32 :  解殼率高, 可惜處理上報的速度慢, 誤報率低
F-Secure, Kaspersky 7 : 解殼率不錯
Kaspersky 8 : 新增偵測殼的功能, 誤報率 (主要是報殼)因此上升
Microsoft Live OneCare : 解殼率不錯, 對每種病毒有一定程度的研究, 加殼後會報"Gen"
VBA32 : 解殼率好, 雖然(應該)是包括Kaspersky 的特徵庫, 但解殼率卻較Kaspersky 的高
瑞星 : 解殼率不錯, 但未如中國論壇所說的那麼高

FortiClient : 最大設定的誤報率 (主要是報殼)嚴重
F-Prot : 最大設定的報殼程度高
Ikarus : 偵測率極高, 但明顯不是解殼而成, 取特徵碼有問題, 導致誤報率極嚴重
Sophos : 最大設定的報殼程度高



PS. 遲了這樣多才公佈, 小弟各向位更萬二的的道歉
PS2. 如需轉貼, 請註明轉載至AVPClub及列出感謝名單

[ 本帖最後由 000110 於 2008-1-27 14:16 編輯 ]

防毒軟體報的名稱 (預設設定).pdf
(2008-01-27 14:14:15, Size: 110 kB, Downloads: 10)

防毒軟體報的名稱 (最大設定).pdf
(2008-01-27 14:14:15, Size: 119 kB, Downloads: 5)

這個方法是最近才發現的
如果透過一般方法, 會因語言不合而無法下載, 除非本身是使用英文Windows
當然也可以到一些中國的軟體網站下載, 但過程中可能有機會感染廣告軟體等
但這個方法是最安全, 因為是從Microsoft網站下載的

方法 :
到這個網站 : http://onecare.live.com/standard/en-us/default.htm
後點Get Free 90-day Trial
再點Install Windows Live OneCare
就可以從Microsoft網站下載

但是這個方法僅僅是下載OneCare, 要安裝的話還需要英文Windows
除非...

3樓有安裝方法

病毒作者為了使其製作的病毒可以成功欺騙防毒軟體所使用的方法真是層出不窮
使用的技術亦愈來愈高超, 由以往單純的加殼, 到加多重殼, 到加變形殼, 及現在普遍使用的加花指令,
都可以看出免殺技術的技術不停在成長, 但是這些技術對防毒軟體的效用其實不大

防毒軟體可以對已加殼, 多重殼, 變形殼進行結構探測, 又或是虛疑執行誘出實體
防毒軟體又可以對加了某花指令直接判斷為病毒, 或虛疑執行誘出實體

可是, 更高明的免殺方法已出爐了 -- 修改特徵碼
透過修改病毒自身被防毒軟體攝取的特徵碼, 從而使防毒軟體無法成功偵測
要成功偵測, 要的可能是靠行為判斷, 可是在現時又有多少防毒軟體含有行為判斷的功能?
哪怕一天免殺技術更成熟的時候, 可以避開行為判斷, 到時真不知防毒軟體有甚麼新技術

[ 本帖最後由 000110 於 2008-1-12 10:37 編輯 ]

這個右鍵掃瞄旨在方便使用 Ikarus Command Line Scanner 的人士
母需每次掃瞄檔案時都要輸入指令

功能 :
1. 掃瞄後, 暫停界面, 供使用者檢視報告
2. 在程式目錄生成記錄檔(Log.TXT)

已知問題 :
1. 不支持目錄掃瞄
2. 掃瞄多個檔案會開多個視窗
3. 記錄檔會被複寫

注意事項 :
1. 執行前, 本程式必須與 Ikarus Command Line Scanner 在同一目錄
2. 執行前, Ikarus Command Line Scanner 的主程式名稱必須為 T3Scan.exe

!AddRight.rar
(2008-01-12 20:49:31, Size: 987 B , Downloads: 0)

由於ADrive不支援中文檔名, 希望大家可以多多包涵
以後有新檔案上傳亦會通知大家

小弟預計
1. 製作Avp+Bdf病毒特徵碼的離線升級包 (但不定期更新)
2. 製作Avp+Avast病毒特徵碼的離線升級包 (但不定期更新) 以方便第一次安裝
3. 30日試用帳號
4. 上傳2008各版本 (GDAV/GDIS/GDTC及其試用版)
所有檔案都會寄存在ADrive

檔名	描述	下載點
AV Cleaner.zip	AVK官方各系列移除工具 (支援2008, 英文界面)	http://www.adrive.com/public/99b ... abd69750d2d6b0.html
AVKCleaner.zip	AVK官方各系列移除工具 (德文界面)	http://www.adrive.com/public/f45 ... c540a22539ed79.html
AntiVirusKit  2006 16.0.7 UpgradePack.exe	AntiVirusKit 2006 升級包, 升級至 16.0.7	http://www.adrive.com/public/62d ... 123c9286171382.html
AntiVirusKit  Engine Changer.exe	AntiVirusKit 引擎切換工具	http://www.adrive.com/public/2c5 ... 450a00f674ab6f.html
GDATA RootKit  Scanner PublicBeta.zip	GDATA 隱藏程式掃瞄工具公開測試版	http://www.adrive.com/public/e4a ... cbe408ba0f1283.html
AntiVirusKit  2006 16.0.3 (English).exe	AntiVirusKit 2006 16.0.3 英文版主程式 (感謝Andy大大的提供)	http://www.adrive.com/public/547 ... 857ae478feaf66.html
AntiVirusKit  2007 17.0.6282.872 (English).exe	AntiVirusKit 2007 17.0.6282.872 英文版主程式	http://www.adrive.com/public/a08 ... 11e19fa20d5ae8.html
AntiVirusKit  2007 17.0.6353.931 (English).exe	AntiVirusKit 2007 17.0.6353.931 英文版主程式	http://www.adrive.com/public/075 ... c00e9989b20b9a.html
AntiVirusKit  2007 17.0.7089 (English Trial).exe	AntiVirusKit 2007 17.0.7089 英文試用版主程式 (感謝丫一大大的提供)	http://www.adrive.com/public/7db ... 2f52e172973398.html
GDAV2008  18.0.7227.533 (English).exe	GDAV2008 18.0.7227.533 英文版主程式	http://www.adrive.com/public/f8d ... be49b5cdbb40ba.html
GDAV2008  18.0.7295.201 (English Trial).exe	GDAV2008 18.0.7295.201 英文試用版主程式	http://www.adrive.com/public/53c ... 080890018a2e2a.html
AntiVirusKit  2007 17.0.6282 ChineseTrad.exe	AntiVirusKit 2007 17.0.6282 正(繁)體中文化	http://www.adrive.com/public/875 ... 15281786e7544b.html
AntiVirusKit  2007 17.0.6353 ChineseTrad.exe	AntiVirusKit 2007 17.0.6353 正(繁)體中文化	http://www.adrive.com/public/be6 ... 26e2663c1b7f6b.html
AVK 2006  16.0.7 Simplified Version (English).rar	AVK 2006 16.0.7 英文精簡版	http://www.adrive.com/public/904 ... 5170d07e0ee10f.html
AVK 2007  17.0.6353 Simplified Version (English).rar	AVK 2007 17.0.6353 英文精簡版	http://www.adrive.com/public/5dc ... aebd75dfe69b89.html
GDAV 2008  18.2.7318 Simplified Version (English).rar	GDAV 2008 18.2.7318 英文精簡版	http://www.adrive.com/public/bbe ... 66b6ecc2812a3c.html

----------------------------------------------------------------------------------------------------------------------------------------------------------
為免將來引起爭吵, 先在此說明
各版本的精簡版的制作是參考 Hwwgo@紳博 及 ★愛過流星★@紳博 合制的2008英文精簡版
但礙於該版沒有加鍵掃瞄, 才特意作GDAV 2008 18.2.7318 英文精簡版
至於AVK 2007 17.0.6353 英文精簡版及AVK 2006 16.0.7 英文精簡版是找不到它們制的精簡版而私自制作
因此, 它日兩位大大要求停止提供下載, 小弟必會依從

[ 本帖最後由 000110 於 2007-12-28 17:34 編輯 ]

引言 :
下載了很久的kis 8 alpha 一直沒有嘗試
今天終於把心一橫安裝在虛擬機中
可惜是alpha 版, 很多功能並不完整而且有上些文字更無法顯示

界面 :
粗略的話, 與7版相似也是可分為左右兩部份
但與7版稍有不同, 8版本的功能頁籤是雖然仍舊以其功能作分類, 但分類得更仔細, 相似功能歸為一類


防護狀態 (Protection Status) :
供使用者檢視目前電腦的安全狀況, 包括重要提示, 事件及已偵測到的病毒

除左手邊的功能頁籤外, 內容可分為4部份 (上, 左, 右, 下)
上 : 頁籤, 把不同的記錄分類
左 : 提示, 主要提示一些重要訊息, 如 : 防護是否啟動, 偵測到的病毒是否已清除, 元件是否正常執行等等
以上兩部份在7版都是有的, 但隨後的右及下部份都是8版新加入的
右 : 工作列, 提供任務, 通常與其所屬的功能頁籤相關
下 : 圖表統計, 把程式已掃瞄的檔案, 電郵及流量作統計並以折線圖的方式顯示, 有助使用者自行分析電腦的安全狀態

系統監測 (System Watch) :
以規則的形式監控電腦的應用程式, 登錄檔, 網絡傳輸
其實即使把7版中的免疫防護(PDM)及防火牆中的篩選系統結合一起, 以一整體來執行, 不過8版還增加了HIPS (入侵防禦)

內容亦是分為4部份 (上, 左, 右, 下)
上 : 頁籤
左 : 檢示及變更不同模組的狀態, HIPS, 系統監測及免疫防護
右 : 工作列, 這次的功能是嗅探網絡封包
下 : 系統效能, 在alpha版中並未開放使用

在規則(Rules)中, 選項亦較7版豐富, 多了資源 (Resourses)及裝置 (Devices)這兩項, 而應用程式規則 (Rules for applications)亦與7版有所不同

應用程式規則 (Rules for applications) : 包括多個分類, 每個分類有預設的存取設定以存取資源, 當然, 使用者可以自行修改及增加新分類


資源 (Resuorces) : 登陸檔, 應用程式, 檔案, 磁碟區域等皆列入資源中, 供應用程式規則使用


裝置 (Devices) : USB, 藍芽等周邊設備的活動控制


區域及網絡 (Zones&Networks) : 設定網絡連線對外的連線狀態


網絡封包規則 (Rules for network packets) : 允許\/攔截網絡上封包的流動

惡意程式防護 (Malware Protection) :
防護任何途徑, 可經由啟發式及特徵碼偵測的惡意程式
與7版的防護(Protection)的功能是一樣, 不過是分類得更加仔細

內容都是分為4部份 (上, 左, 右, 下)
上 : 頁籤
左 : 檢示及變更不同模組的狀態, 檔案防護, 郵件防護, 及網站防護
右 : 工作列, 這次的功能是感染後的系統還原及救援光碟
下 : 圖表統計, 把程式已掃瞄的檔案, 電郵及流量作統計並以折線圖的方式顯示, 有助使用者自行分析電腦的安全狀態

掃瞄設定沿用7版的風格, 但新增了線上掃瞄這一項


線上安全 (Online Security) :
防護由網絡產生的威脅, 包括網絡攻擊, 隱藏撥號以及網絡釣魚, 功能與7版差不多

界面也是分為4部份 (上, 左, 右, 下)
上 : 頁籤
左 : 檢示及變更不同模組的狀態, 入侵偵測系統, 隱藏撥號防護及網絡釣魚防護
右 : 工作列, 虛擬鍵盤及隱私清除 (清除由瀏覽器及系統產生的隱私檔, 如Cookies, 瀏覽記錄...)
下 : 圖表統計, 把攔截到的網絡攻擊, 釣魚網站及撥號程式以線圖顯示, 讓使用者容易翻查

內容過濾 (Content Filtering) :
過濾不想在電腦顯示的物件, 這些物件對電腦不構成威脅

界面分為4部份 (上, 左, 右, 下)
上 : 頁籤
左 : 檢示及變更不同模組的狀態, 垃圾郵件防護, 廣告橫幅防護及家長監控
右 : 工作列, 這次的功能是訓練垃圾郵件防護
下 : 圖表統計, 把攔截到的垃圾郵件及廣告橫幅以線圖顯示

掃瞄 (Scan) :
與7版比較, 掃瞄範圍減少至只得3項

掃瞄所選物件 (Scan Selected Objects) : 掃瞄自定義的檔案亦包括由右鍵引發的掃瞄
全機掃瞄 (Full Scan) : 掃瞄電腦上所有區域, 包括光碟機, 網絡磁碟, 卸載式裝置等
掃瞄啟動物件 (Startup Scan) : 在卡巴啟動時預設掃瞄啟動物件, 系統記憶體及磁碟開機磁區

更新 (Update) :
界面與版差不多分上, 下兩部份

上 : 病毒資料庫的資料
下 : 以圖表方式顯示下載速度

選項 (Options) :
與7版相比, 8版的選項明顯的簡化, 因為很多設定都被抽離出來, 要在所屬的功能頁籤下設定
只有最底下的兩項是新加入的

回饋 (Feedback) : 透過加入Kaspersky Security Network, 反映程式的問題及建議程式可改善之處
疑難排解 (Troubleshooting) : 這項可能少用到, 通常是技術員要求, 否則很難選取合適的等級
這是為程式上的漏洞作追蹤, 追蹤錯誤時程式的行為
另外, 威脅 (Threats)內的設定有所所更改, 增加了偵測殼的特徵碼, 及使危險軟體及色情軟體可更加仔細地調節要偵測的項目


系統監測 (System Watch) 的警報 :





惡意程式防護 (Malware Protection) 的警報 :
新增可檢視惡意程式的資訊及嘗試執行該惡意程式的程式的資訊


手動掃瞄 (報殼) :
亦是新堵新增可檢視惡意程式的資訊及嘗試執行該惡意程式的程式的資訊

(Bug發現 : 圖中Category 應為Packers, 而非Riskware)

報告 :
更詳細的報告, 可自行設定是否詳細顯示

先是以日期作分類, 後再以功能作分類

資源佔用 :
閒置 :

掃瞄 :
由於掃瞄不同的類型的檔案佔用的資源亦不同, 故不便作圖


後評 :
由於KIS 8是在alpha階段, 程式的漏洞, 穩定性及功能等仍存在上一定程度上不足, 相信在beta版會逐步改善, 到正式版推出時會更完善, 無疑, 這版本較由5至6, 6至7在功能上是一個大突破, 包括了很多新功能 : 系統安全性分析, 瀏覽器弱點, HIPS, 隱私清除, 弱點掃瞄, 報殼等, 相信正式版推出時, 會帶來新的驚喜
優 :

1. 詳細報告
2. 開始對殼的偵測
3. 弱點掃瞄
4. 整合主程式追蹤功能, 使用者無需額外下載
5. 俱備 HIPS
6. 掃瞄威脅時用到的特徵碼可更加仔細地調節

缺 :

1. 報告整合在主界面內, 不容易看
2. 設定繁複, 初學者未必可以發揮其功能
3. 警報過多, 不太適合初學者使用

這是小弟第一次寫的簡評, 而且版本又是alpha版, 所以只在功能上描述並沒有如丫一大大專業, 並未觸及到程式對病毒偵測率, 誤判問題, 自我保護功能及免疫防護/HIPS的偵測, 畢竟小弟對資安方面仍不過是初學者,
因此, 如有不足之處, 請各位大大多多包涵

[ 本帖最後由 000110 於 2007-12-23 11:25 編輯 ]

影響顯示的字串全部翻譯了
不過仍存在少部份顯示問題 (不是由 Unicode 及 ASCII 控制)
1. 在記錄檔中的類型, AVK Monitor 無法翻譯為 AVK 監控

2. 排程中的月份及星期無法翻譯為中文


截圖 :
圖 1


圖 2


圖 3


圖 4


圖 5


圖 6


安裝教學：
1. 請在安全模式進行安裝
2. 安裝版的使用者的安裝目錄如非"C:\Program Files"，請自行更改
3. 綠色版的使用者請在安裝後自行複製所需檔案到綠色版的目錄下

下載位置 : AntiVirusKit 2007 17.0.6353 正體中文化.exe

2007-6-18 修正檔 發佈!
請有需要的人下載新的中文化檔案
下載位置 : AntiVirusKit 2007 17.0.6353 正體中文化.exe

修正內容 :
1. 修正由Bug大大所說的未翻譯部份


2. 加入記錄檔匯出的中文化檔

Stefan Schiffert 的回覆：(原文)
Unpacking won't solve every problem. Keep in mind you easily can combine several layers of packers so that neither NOD32, KAV, BD, Dr.Web or anyone else can unpack nor emulate them.

And what good is being able to unpack some modified variant of a packer, if the emulation takes more than 60 seconds? The scan speed of NOD32 on malware collections with enabled adv. heuristic is horrible, like 100 times slower than AntiVir. Do you think it's really worth to pay this price just to have "nicer" or more exact detection?

Besides, KAV, NOD32, BD and Dr.Web all also started to add packer/crypter based detections, or are already doing so for a long while. Peed.Gen, Packer.Morphine, Packer.Win32.CryptExe, Win32.Pacex.Gen and so on and so on. Heck, tell me any antivirus program which is *not* doing this by now!

So again, it's good to have lots of unpacking and good emulation but it won't solve all the detection problems. Malware authors still can bypass the detection if they want to and put enough work into it.

----------譯文----------
脫殼不能解決全部的問題。請記住你可以輕鬆的進行多層的加殼這樣不管nod32，kav，bd，dr.web或其他的軟體甚至是有模擬器功能的軟體都不可以對他們進行脫殼。（themida就是其中之一）

如果模擬器用了超過60秒鐘的時間來進行脫殼，有什麼好處嗎？（nod32永遠的痛）nod32在開啟高啟發之後在進行大量病毒掃描的時候速度十分的糟糕，甚至於100倍慢於antivir。你真的認為值得支付這樣的代價來取得更“好”或者準確的偵測嗎？

順便說一句，kav，nod32，bs和dr.web都開始在基礎偵測中加入報殼，或者已經使用了很久了。peed.gen （bitdefender的），packer.morphine（antivir的），packer.win32.cryptexe（kav的）， win32.pacex.gen（nod32的）和其他很多很多。這樣吧，請告訴我哪個殺毒軟體現在“沒有”這樣做！

所以再次的，擁有大量的脫殼和好的模擬器是很好的，但是並不能解決偵測問題。病毒製造者一樣可以免殺，如果他們放入足夠的精力來做的話

[ 本帖最後由 000110 於 2007-5-23 11:45 編輯 ]

第一部份：安裝
由於安裝部份很簡單，基本上是無須多說的
因此會略過不少 步驟，只詳述自訂安裝

1. 選擇自訂安裝
   
   
   
2. 略過了選擇安裝目錄
   
   
3. 自訂安裝選項
   可如圖中的描述自行選擇
   
   
   
4. 
   
   
   
5. 此步驟僅提供給以AVK作輔助掃瞄(沒有安裝監控) 或 不想AVK隨系統啟動的人仕使用
   使用這步驟，將停用AVK的監控，使用者須面對受病毒入侵的後果
   
   
   
   1. 在〔開始〕→〔執行〕→鍵入〔services.msc〕→將 AVK Monitor, AVK Service 及AVKProxy 改為〔手動〕
      
   2. 在〔開始〕→〔執行〕→鍵入〔msconfig〕→〔啟動〕→清除勾選 AVKTray
      
   3. 重新啟動電腦
      
   
   

第二部份：設定
安裝完成後，當然就是開始設定AVK
不過AVK的選項不多，很快就可以完成< br>

1. 首先，如圖所示，把每次執行時也會顯示的煩人提示弄去
   
   
   
   這樣每次執行會方便得多
   
   接下來開始設定即時監控、手動掃瞄、 電郵掃瞄等
   
   
2. 監控設定
   
   
   
   1. 排除設定
      
      
      
   
   
   
3. 掃瞄病毒
   
   
   
4. 電郵掃瞄
   AVK的電郵掃瞄僅支援Microsoft Outlook，不支援其它電郵程式，如Outlook Express、Eudora……
   但英文版翻譯時，把(Nur Microsoft Outlook)刪去
   
   
   
   
   
5. 網頁及即時通訊
   
   
   
6. 其它
   

第三部份：更新
由於2007版可使用試用版免費更新30日
這裡的教學不會十分詳細


設定自動更新

1. 
   
   
   
2. 
   
   
   
3. 
   

DIY更新 (For 2006) 以CuteFtp 作範例
KAV伺服器：ftp://downloads3.kaspersky-labs.com/updates_x< br>BD伺服器：ftp://ftp.bitdefender.com/pub/updates/update_is_90

1. 
   
   
   
2. 1. 設定KAV伺服器
      
      
      
      
      
   2. 設定BD伺服器
      
      
      
   
   設定伺服器後，每次連上KAV或BD伺服 器都會跳到AVK中KAV或BD特徵碼的目錄
   
   
3. 更新KAV特徵碼
   連接到KAV伺服器後，按「F11」呼叫 Direction Comparison Options，如下圖所示勾選各項
   
   
   按OK 後，將出現如下圖般的視窗
   
   
   此時，選取所有粉紅標記(除avp.set)及副檔名為.avc的藍色標記下載
   
   
4. 更新BD特徵碼
   連接到BD伺服器後，按「F11」呼叫 Direction Comparison Options，如下圖所示勾選各項
   
   
   按OK 後，將出現如下圖般的視窗
   
   
   選取所有粉紅標記的dll檔 (沒有的話就跳到下一個步驟)
   進入Plugins這個資料夾
   按「F11」呼叫 Direction Comparison Options，如下圖所示勾選各項
   
   
   按OK 後，將出現如下圖般的視窗
   
   
   選取所有粉紅標記及藍色標記(除daily.zip外)下載
   
   下載所有特徵碼後，就要開始最煩的一步
   
   
5. 修改set檔案
   要修改的共有3個
   avp.set : KAV標準特徵碼設定檔
   avpd.set : KAV擴展特徵碼設定檔
   bdf.set : BD特徵碼設定檔
   
   
   1. avp.set修改 :
      輸入所有不是由ext開頭的*.avc檔案名稱
      
      
   2. avpd.set修改 :
      輸入所有*.avc檔案名稱
      
      
   3. bdf.set修改 :
      輸入所有檔案的名稱，除plugins.htm、bdf.set及bdf.ver外