proll大大之"成也加壳,败也加壳" PCC2007篇



贊助商連結


harry_chang2003
2006-11-23, 11:58 PM
由proll大大提供的三種殼來測試PCC2007
原版:
http://www.pczone.com.tw/showthread.php?t=129201

三種殼分別為(殼內皆無病毒)
FSG2+歲月

SVKP+北斗

歲月+北斗

http://www.pczone.com.tw/attachment.php?attachmentid=12511&stc=1&d=1164297429


PCC2007都沒報

贊助商連結


proll
2006-11-24, 11:23 AM
測試加殼主要是測試啟髮式的誤報情況。:circle:pcc的啟髮式……

harry_chang2003
2006-11-24, 06:00 PM
PCC的啟發式掃毒本來就滿爛的
正常的都不會報
所以應該不會物報才對

esjustin
2006-11-24, 10:00 PM
PCC的啟發式掃毒本來就滿爛的
正常的都不會報
所以應該不會物報才對

目前所有的啟發式(未知威脅防禦),都會有誤報的,"啟發式太強反而誤報也隨之增多",還沒有一家能夠跳脫這種定律:|||: (NOD32算是降低誤報率成功的一家,不過仍有些許誤報:) )

基本上,HIPS這種就可以抵擋99.99%以上的威脅了~

sai7sai
2006-11-27, 09:30 AM
這樣測試有什麼意義嗎?技術的東西是要講求事實,對就是對,錯就是錯,不要因為個人的喜好,而有所不同。

如果要偵測加殼檔案(不管有無病毒),不是很困難,也可以把這些檔案隔離,但太多商用軟體使用加殼技術壓縮檔案,動不動就把它們隔離,你想會發生什麼事情呢?

qoqoa
2006-11-29, 06:04 PM
這樣測試有什麼意義嗎?技術的東西是要講求事實,對就是對,錯就是錯,不要因為個人的喜好,而有所不同。

如果要偵測加殼檔案(不管有無病毒),不是很困難,也可以把這些檔案隔離,但太多商用軟體使用加殼技術壓縮檔案,動不動就把它們隔離,你想會發生什麼事情呢?
我也同意這樣的說法,不過.其實趨勢在企業版的軟體上面已經開始啟用
針對加殼程式的特別偵測技術(IntelliTrap)
對於加殼程式的判斷率真的提高了...可是另一方面.也的確會發生誤判的狀況!
感覺這種技術是雙面刃,在追求穩定的公司,寧願病毒偵測率低一點,
也不要有高誤判率!
或許.PCC 2007 以後也會把這些功能開啟吧!