proll大大之"成也加壳，败也加壳" PCC2007篇

**harry_chang2003** · 2006-11-23, 11:58 PM

由proll大大提供的三種殼來測試PCC2007
原版:
http://www.pczone.com.tw/showthread.php?t=129201

三種殼分別為(殼內皆無病毒)
FSG2+歲月

SVKP＋北斗

歲月＋北斗

PCC2007都沒報

**proll** · 2006-11-24, 11:23 AM

測試加殼主要是測試啟髮式的誤報情況。

pcc的啟髮式……

**harry_chang2003** · 2006-11-24, 06:00 PM

PCC的啟發式掃毒本來就滿爛的
正常的都不會報
所以應該不會物報才對

**esjustin** · 2006-11-24, 10:00 PM

作者：harry_chang2003

PCC的啟發式掃毒本來就滿爛的
正常的都不會報
所以應該不會物報才對

目前所有的啟發式(未知威脅防禦),都會有誤報的,"啟發式太強反而誤報也隨之增多",還沒有一家能夠跳脫這種定律

(NOD32算是降低誤報率成功的一家,不過仍有些許誤報

)

基本上,HIPS這種就可以抵擋99.99%以上的威脅了~

**sai7sai** · 2006-11-27, 09:30 AM

這樣測試有什麼意義嗎？技術的東西是要講求事實，對就是對，錯就是錯，不要因為個人的喜好，而有所不同。

如果要偵測加殼檔案(不管有無病毒)，不是很困難，也可以把這些檔案隔離，但太多商用軟體使用加殼技術壓縮檔案，動不動就把它們隔離，你想會發生什麼事情呢？

**qoqoa** · 2006-11-29, 06:04 PM

作者：sai7sai

這樣測試有什麼意義嗎？技術的東西是要講求事實，對就是對，錯就是錯，不要因為個人的喜好，而有所不同。

如果要偵測加殼檔案(不管有無病毒)，不是很困難，也可以把這些檔案隔離，但太多商用軟體使用加殼技術壓縮檔案，動不動就把它們隔離，你想會發生什麼事情呢？

我也同意這樣的說法，不過.其實趨勢在企業版的軟體上面已經開始啟用
針對加殼程式的特別偵測技術（IntelliTrap)
對於加殼程式的判斷率真的提高了...可是另一方面.也的確會發生誤判的狀況！
感覺這種技術是雙面刃，在追求穩定的公司，寧願病毒偵測率低一點，
也不要有高誤判率！
或許.PCC 2007 以後也會把這些功能開啟吧！