【转载】关于UPX壳误报为病毒的问题
[font=宋体][size=10.5pt][color=#000000]今天绿盟维护人员发现网友举报一个软件有病毒,查看了下,瑞星+微点+卡巴没有发现,但是奇怪的是迅雷安全中心报了毒,不给下载。因为绿盟的软件是人工收录的,不是作者提交的,绿盟收录的时候是根据这个软件是否给华军或天空收录,来定的(当然国外软件除外),确定了软件的来源是可靠干净的,更新员加的时候也是安全的,由于更新员用的是其他杀毒,avast或卡巴和维护人员不同,可以确定,这个软件通过以下杀毒:[/color][/size][/font][font=宋体][size=10.5pt][color=#000000]瑞星+微点+卡巴+avast[/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000]那迅雷的安全中心(卡巴引擎)为什么报呢?经过和迅雷技术人员反映后,有以下可能:[/color][/size][/font]
[color=#000000][font=宋体][size=10.5pt]1[/size][/font][font=宋体][size=10.5pt],迅雷安全中心的卡巴敏感度非常高,宁可错杀,也不放过一个,但是卡巴6,卡巴7的最新病毒库查不到“病毒”,迅雷的卡巴就比较“牛”,能报出来...[/size][/font][/color]
[color=#000000][font=宋体][size=10.5pt]2[/size][/font][font=宋体][size=10.5pt],用户进行全盘扫描的时候突然中断的话,会向卡巴提交所有的软件,误报用户所有的软件为病毒,而且,迅雷安全中心的卡巴只要有一个是误报的,这个软件以后都提示为病毒,按照md5值...也就是像绿盟怎么大的访问群,千万不要每天有人全盘扫描...否则所有软件报毒都有可能。[/size][/font][/color]
[font=宋体][size=10.5pt][color=#000000]其实小编是知道upx和报毒的关系的,卡巴现在对upx加壳的软件,误报率非常高。[/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000]查了下这个软件,是用 UPX 0.80 - 1.24 DLL -> Markus & Laszlo [Overlay]加壳的,搜索下,很多木马的制作者都用这个东西加密,而且很容易,做下手脚就骗过卡巴了,于是,卡巴恼怒了?封杀upx?真弱智....[/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000]如果卡巴报警就算病毒,那卡巴不报警的就不算病毒了?[/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000]这个理论根本不成立,杀毒软件的误报和不报的东西多的是![/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000][/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000][/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000][/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000][/color][/size][/font]
[font=宋体][size=10.5pt][color=#000000][/color][/size][/font]
[[i] 本帖最后由 唯我独尊 于 2008-2-27 20:03 编辑 [/i]]
病毒+壳
病毒加壳了,只有运行驻留内存之后才比较好查杀,隐蔽性提高了,现在很多恶意软件也是如此炮制的,要提防啊 呵呵,卡巴做事一向那么鲁莽,确认不了的东西就一律枪毙,不给我们选择的机会啊。。。。 哈哈,确实,卡巴视UPX加壳眼中钉啊页:
[1]