proll大大之"成也加壳，败也加壳" PCC2007篇

[harry_chang2003]

由proll大大提供的三種殼來測試PCC2007
原版:
http://www.pczone.com.tw/vbb3/thread/28/129201/

三種殼分別為(殼內皆無病毒)
FSG2+歲月

SVKP＋北斗

歲月＋北斗




PCC2007都沒報

[proll]

測試加殼主要是測試啟髮式的誤報情況。pcc的啟髮式……

[harry_chang2003]

PCC的啟發式掃毒本來就滿爛的
正常的都不會報
所以應該不會物報才對

[esjustin]

引用:

作者: harry_chang2003

PCC的啟發式掃毒本來就滿爛的
正常的都不會報
所以應該不會物報才對

目前所有的啟發式(未知威脅防禦),都會有誤報的,"啟發式太強反而誤報也隨之增多",還沒有一家能夠跳脫這種定律 (NOD32算是降低誤報率成功的一家,不過仍有些許誤報 )

基本上,HIPS這種就可以抵擋99.99%以上的威脅了~

[sai7sai]

這樣測試有什麼意義嗎？技術的東西是要講求事實，對就是對，錯就是錯，不要因為個人的喜好，而有所不同。

如果要偵測加殼檔案(不管有無病毒)，不是很困難，也可以把這些檔案隔離，但太多商用軟體使用加殼技術壓縮檔案，動不動就把它們隔離，你想會發生什麼事情呢？

[qoqoa]

引用:

作者: sai7sai

這樣測試有什麼意義嗎？技術的東西是要講求事實，對就是對，錯就是錯，不要因為個人的喜好，而有所不同。

如果要偵測加殼檔案(不管有無病毒)，不是很困難，也可以把這些檔案隔離，但太多商用軟體使用加殼技術壓縮檔案，動不動就把它們隔離，你想會發生什麼事情呢？

我也同意這樣的說法，不過.其實趨勢在企業版的軟體上面已經開始啟用
針對加殼程式的特別偵測技術（IntelliTrap)
對於加殼程式的判斷率真的提高了...可是另一方面.也的確會發生誤判的狀況！
感覺這種技術是雙面刃，在追求穩定的公司，寧願病毒偵測率低一點，
也不要有高誤判率！
或許.PCC 2007 以後也會把這些功能開啟吧！