Eset 報 a variant of XXX 解說?
2008-02-15 13:54:19 / 個人分類:Eset
本來打算寫一篇防毒軟體報啟發式的名稱, 但花了很多時間也只完成了數款防毒軟體
所以就擱置了, 反而對Eset報啟發式的名稱有興趣
看到 variant 這個字, 大概可以想到"變種"
但是到底"變種"會是特徵碼依據的還是啟發式?
事實上, Eset 報 variant 既是特徵碼依據又是啟發式
以目前手上的樣本來分析, 仍然很難可以介定哪些報的名稱是特徵碼依據, 哪些報的名稱是啟發式
但就目前來說, 大體上(80%可靠)
特徵碼依據 : 類別名
啟發式 : 包含子分類
例如 :
但是由於只有80%可靠, 所以會有例外
總結而言,
特徵碼依據的範圍較大
啟發式的範圍會更仔細
可能這些資料對長期使用Eset的人來說, 不是新鮮事
但也希望給予補充
所以就擱置了, 反而對Eset報啟發式的名稱有興趣
看到 variant 這個字, 大概可以想到"變種"
但是到底"變種"會是特徵碼依據的還是啟發式?
事實上, Eset 報 variant 既是特徵碼依據又是啟發式
以目前手上的樣本來分析, 仍然很難可以介定哪些報的名稱是特徵碼依據, 哪些報的名稱是啟發式
但就目前來說, 大體上(80%可靠)
特徵碼依據 : 類別名
啟發式 : 包含子分類
例如 :
- probably a variant of Win32/TrojanDownloader.Delf trojan
底線間的是類別名, 所以這次報的"變種"是特徵碼依據
- probably a variant of HTML/Exploit.Agent trojan
底線間的是類別名, 所以這次報的"變種"是特徵碼依據
- probably a variant of Win32/PSW.OnLineGames trojan
底線間的是類別名, 所以這次報的"變種"是特徵碼依據
- probably a variant of Win32/PSW.Agent.NDP trojan
底線間的照樣是類別名, 但斜體字是子分類, 所以這次報的"變種"是啟發式
- a variant of Win32/PSW.OnLineGames.NFN trojan
底線間的照樣是類別名, 但斜體字是子分類, 所以這次報的"變種"是啟發式
- probably a variant of Win32/PSW.OnLineGames.NEP trojan
底線間的照樣是類別名, 但斜體字是子分類, 所以這次報的"變種"是啟發式
但是由於只有80%可靠, 所以會有例外
- a variant of Win32/Jalous worm
底線間的是類別名, 但是這次報的"變種"是啟發式
- probably a variant of Win32/Genetik trojan
底線間的是類別名, 但是這次報的"變種"都是啟發式
總結而言,
特徵碼依據的範圍較大
啟發式的範圍會更仔細
可能這些資料對長期使用Eset的人來說, 不是新鮮事
但也希望給予補充
論壇模式 推薦 收藏 等級(0) 編輯 管理 查看(898) 評論(6)
TAG: Eset
-
proll發佈於2008-02-17 00:13:19
-
算是廣譜式特征碼,就是Generic吧。
F-prot V6 現在病毒特征庫也在不斷減小,將榮譽特征碼和歸入Generic里面
-
ㄚ一
發佈於2008-02-15 23:02:54
-
這個部分沒有那麼硬的侷限
一般報變種可以視為已知或者是由啟發偵測的未知病毒都可以
因為偵測變種的特徵值可以存在於引擎或者是特徵庫內
絕大部分的廠商都是把基因偵測的特徵做在特徵碼中
有少部分廠商則是把特徵值做在引擎內
把基因偵測做在引擎裡的最佳代表就是AntiVir
avast據我的觀察似乎也是,但也有些不像(總之我不確定)
這兩家比起其他廠商在基因啟發上做的算是相當不錯
-
integear發佈於2008-02-15 18:07:06
-
QUOTE:
原帖由 wsc47621 於 2008-2-15 17:31 發表
特徵碼偵測不到->啟發式(包含虛擬機,靜態分析)
原來是單獨選項測試!!
就沒問題了
那如果都是同時開啟的話
那是特徵碼優先判斷還是那兩個啟發優先判斷?這一點我很想知道2.GIF)
.
-
wsc47621發佈於2008-02-15 17:31:37
-
原來是單獨選項測試!!
就沒問題了
那如果都是同時開啟的話
那是特徵碼優先判斷還是那兩個啟發優先判斷?這一點我很想知道
-
000110
發佈於2008-02-15 14:55:52
-
QUOTE:
原帖由 wsc47621 於 2008-2-15 14:34 發表
應該不是特徵碼+啟發共同討論出來的結果
老實說...我也分不太出來
他老是報說可能是XXX的變種
他應該是特徵碼+啟發共同討論出來的結果
所以兩個應該多多少少都有參予
但我遇過1種絕對是啟發
" 發現到不明的病毒 已隔離 請回報ESET進行分析"
...
因為小弟測試時, 只勾選"Signature" 或 "Heuristic" + "Advanced Heuristic"
所以不會是特徵碼+啟發共同討論出來的結果
發現到不明的病毒 = probably unknown NewHeur_PE virus
是對未知病毒的啟發式
PS. 在發文時漏了說測試的方式, 真是大懵
測試版本 : EAV 3.0.621
測試方式 :
"Signature" -> 特徵碼依據
"Heuristic" + "Advanced Heuristic" -> 啟發式
[ 本帖最後由 000110 於 2008-2-15 14:58 編輯 ]
-
wsc47621發佈於2008-02-15 14:34:40
-
老實說...我也分不太出來
他老是報說可能是XXX的變種
他應該是特徵碼+啟發共同討論出來的結果
所以兩個應該多多少少都有參予
但我遇過1種絕對是啟發
" 發現到不明的病毒 已隔離 請回報ESET進行分析"
這是之前USB裝置偵測到唯一沒病毒類別也沒提到說可能變種的特殊情形
就只遇過這麼一次 他就只說 不明的病毒 就這樣子
這種少數的案例不知道有沒有人遇過
當時我用2.70.39的版本
3.0版之後有 啟發和進階啟發兩種 這是不一樣的
預設值 即時防護 啟發有開 進階啟發沒開
手動掃描 兩個啟發進階啟發都有開
[ 本帖最後由 wsc47621 於 2008-2-15 14:36 編輯 ]