有關Panda防毒軟體對於未知病毒的偵測能力問題

**harry_chang2003** · 2006-11-25, 10:33 PM

作者：proll

那次測試似乎用的沒有Truprevent的 2.00.01去參加測試的……

我发一些昨天晚上，和今天下午测试的样本的启发式以及Truprevent的图片，其他已知的就不发了。

你上次提供的1.exe樣本我也有反應但是其他我測的都怪胎怪胎

**baba_yu** · 2006-11-25, 11:00 PM

作者：harry_chang2003

TO 阿一

這幾個檔案PANDA的未知威脅好像都無反應,幫忙看看
PCC皆有反應

還有虛擬系統該如何上網??

Check system areas...
Check selected directories and files...
Object: 流浪者1.0/服?端服?端.exe
In archive: E:\v15\複製 -流浪者1.0.rar
Status: Virus detected
Virus: Trojan-Spy.Win32.Delf.tw (KAV engine)
Object: 流浪者1.0\服?端\服?端.exe
In archive: E:\v15\複製 -流浪者1.0.rar
Status: Suspected virus
Virus: BehavesLike:Win32.Backdoor (BD-Engine)
Object: 複製 -流浪者1.0.rar
Path: E:\v15
Status: Virus detected
Virus: Trojan-Spy.Win32.Delf.tw (KAV engine), BehavesLike:Win32.Backdoor (BD-Engine)
Object: 庥誺絮庥誺絮.exe
In archive: E:\v15\複製 -20051103wd.rar
Status: Virus detected
Virus: not-a-virus

ownloader.Win32.Cone.a (KAV engine)
Object: 庥誺絮\庥誺絮.exe
In archive: E:\v15\複製 -20051103wd.rar
Status: Virus detected
Virus: Backdoor.Cone.BX (BD-Engine)
Object: 複製 -20051103wd.rar
Path: E:\v15
Status: Virus detected
Virus: not-a-virus

ownloader.Win32.Cone.a (KAV engine), Backdoor.Cone.BX (BD-Engine)
Object: hxdef100r bdcli100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.084 (KAV engine)
Object: hxdef100r hxdef100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.073.b (KAV engine)
Object: hxdef100r rdrbs100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.084 (KAV engine)
Object: hxdef100r/src/driver driver.sys
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.073.b (KAV engine)
Object: hxdef100r\bdcli100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Trojan.Hacdef.084 (BD-Engine)
Object: hxdef100r\hxdef100.2.ini
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Generic.Hacdef.INI.C0089884 (BD-Engine)
Object: hxdef100r\hxdef100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Generic.Hacdef.7917C0A9 (BD-Engine)
Object: hxdef100r\hxdef100.ini
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Generic.Hacdef.INI.96E7B6FA (BD-Engine)
Object: hxdef100r\rdrbs100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Hacdef.1.0.0 (BD-Engine)
Object: hxdef100r\src\driver\driver.sys
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Hacdef.0.8.3 (BD-Engine)
Object: hxdef100r\src\driver.res (Embedded EXE g)
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Hacdef.0.8.3 (BD-Engine)
Object: 複製 -20051128hxdef100r.rar
Path: E:\v15
Status: Virus detected
Virus: Backdoor.Win32.HacDef.084 (2x), Backdoor.Win32.HacDef.073.b (2x) (KAV engine), Trojan.Hacdef.084, Generic.Hacdef.INI.C0089884, Generic.Hacdef.7917C0A9, Generic.Hacdef.INI.96E7B6FA, Backdoor.Hacdef.1.0.0, Backdoor.Hacdef.0.8.3 (2x) (BD-Engine)
Object: 7.31weiba (拸褲唳)挕犖鹹汜TMhacker.exe
In archive: E:\v15\複製 -7.31weiba.rar
Status: Virus detected
Virus: Trojan.Win32.QQMess.a (KAV engine)
Object: 7.31weiba\(拸褲唳)挕犖鹹汜TMhacker.exe
In archive: E:\v15\複製 -7.31weiba.rar
Status: Virus detected
Virus: Trojan.Qqmess.A (BD-Engine)
Object: 複製 -7.31weiba.rar
Path: E:\v15
Status: Virus detected
Virus: Trojan.Win32.QQMess.a (KAV engine), Trojan.Qqmess.A (BD-Engine)
Analysis complete: 2006/11/25 下午 10:59
4 files checked
4 infected files detected
0 suspected files detected

ㄚ一 · 2006-11-25, 11:00 PM

作者：esjustin

請問"微點"是?

大陸的安全軟體
是以行為判斷來分析是否為惡意程序的軟體

TO 阿一

這幾個檔案PANDA的未知威脅好像都無反應,幫忙看看
PCC皆有反應

還有虛擬系統該如何上網??

這些樣本我晚一點測試
我的panda現在變成這樣...

而且我現在再轉檔,沒有多餘的cpu跟ram去跑虛擬機
等工作結速再說吧...

虛擬機直接就可以上網啦
你的不行嗎?

**harry_chang2003** · 2006-11-25, 11:02 PM

作者：阿一

大陸的安全軟體
是以行為判斷來分析是否為惡意程序的軟體

這些樣本我晚一點測試
我的panda現在變成這樣...

而且我現在再轉檔,沒有多餘的cpu跟ram去跑虛擬機
等工作結速再說吧...

虛擬機直接就可以上網啦
你的不行嗎?

區域網路可以但網路就是連不上= = "

這跟無線網路有關嗎?

ㄚ一 · 2006-11-25, 11:12 PM

跟wifi無關你變更一下虛擬機中網路的設定
每個選項都試試看

vmware server我在ubuntu上也在用
一樣是實體積可以上網,虛擬機就可以
不用什麼特別的設定

**proll** · 2006-11-25, 11:22 PM

作者：baba_yu

不需干預是可以的但也要指出行為 ,不然有見黑衣人就當賊的嫌疑

既然是無需人工干預，又何必把具體的情節告訴給用戶？何況這樣的告訴只會增加普通用戶的煩惱，現在要把東西做「智能化」很難，但要是做的像SSM GSS卻很容易，Panda的HIPS先進就在此處，我還未曾見過Panda的HIPS誤報過正常的文檔。

就算是卡巴的Proactive以及PC-CILLIN2007的HIPS，都只是半個男人而已，既沒有SSM GSS的靈活設置，又不能智能化判斷操作，這樣才是雞肋。(抱歉，可能有些过激，但实事的确如此）

Panda的HIPS多餘，還是那些見殼就報的「啟髮式」多餘？

**proll** · 2006-11-25, 11:23 PM

作者：harry_chang2003

你上次提供的1.exe樣本我也有反應但是其他我測的都怪胎怪胎

這個圖片裡面的1.exe並非是上次那個1.exe，僅僅是名字相同而已。

**baba_yu** · 2006-11-25, 11:38 PM

作者：proll

既然是無需人工干預，又何必把具體的情節告訴給用戶？何況這樣的告訴只會增加普通用戶的煩惱，現在要把東西做「智能化」很難，但要是做的像SSM GSS卻很容易，Panda的HIPS先進就在此處，我還未曾見過Panda的HIPS誤報過正常的文檔。

就算是卡巴的Proactive以及PC-CILLIN2007的HIPS，都只是半個男人而已，既沒有SSM GSS的靈活設置，又不能智能化判斷操作，這樣才是雞肋。(抱歉，可能有些过激，但实事的确如此）

Panda的HIPS多餘，還是那些見殼就報的「啟髮式」多餘？

我從不推銷任何軟體識貨人自然會懂

Panda hips 不指出行為只會報原廠報對還是誤報這種軟體用久了個人理性判斷認知只會更差讓人失去理性沒意義

**proll** · 2006-11-25, 11:47 PM

複製 -20051128hxdef100r.rar 這裡面很多檔，分別運行3個exe後，Panda過段時間HIPS會提示阻斷可疑操作

其他的等下再测

**proll** · 2006-11-25, 11:53 PM

作者：baba_yu

我從不推銷任何軟體識貨人自然會懂

Panda hips 不指出行為只會報原廠報對還是誤報這種軟體用久了個人理性判斷認知只會更差讓人失去理性沒意義

做軟體是為了讓普通人去用，Panda的設計思路不是為了給我這些玩病毒測樣本的人來消遣。

軟體的功能越複雜，售後的困擾就會成幾何倍的增加，試想哪個公司會給自己的企業購買GSS或者SSM來做防護軟體？

軟體提供的安全度的增加，意味著軟體的易用性必定要成反比；而軟體的智能化、易用性的提高，意味著安全度必定不如層層、坎坎的標準HIPS軟體。但現實就是這樣，沒有人100％的安全，所以根本沒有必要追求絕對的安全，所有的HIPS軟體現在要做的，就是如何找到一個合適的層面，讓消費者能接收，而不是停留在「高精尖人才所掌握的技術」，更不是讓「菜鳥」們對照著高手們寫的「HIPS設置寶典」來生硬的套用，這些現象很可笑，不是嗎，追求的是100％的安全，但真正的安全真的就是這樣獲取的？
真正的用電腦的人，不是我們，而是那些不上這類論壇的人們，他們需要的是一個平穩的工作平台，他們需要的不是那些在他們看來，複雜的軟體，那些軟體在他們看來和病毒、木馬沒有區別。