有關Panda防毒軟體對於未知病毒的偵測能力問題

[harry_chang2003]

引用:

作者: proll

那次測試似乎用的沒有Truprevent的 2.00.01去參加測試的……


我发一些昨天晚上，和今天下午测试的样本的启发式以及Truprevent的图片，其他已知的就不发了。

你上次提供的1.exe樣本我也有反應 但是其他我測的都怪胎怪胎

[baba_yu]

引用:

作者: harry_chang2003

TO 阿一

這幾個檔案PANDA的未知威脅好像都無反應,幫忙看看
PCC皆有反應

還有虛擬系統該如何上網??

Check system areas...
Check selected directories and files...
Object: 流浪者1.0/服?端 服?端.exe
In archive: E:\v15\複製 -流浪者1.0.rar
Status: Virus detected
Virus: Trojan-Spy.Win32.Delf.tw (KAV engine)
Object: 流浪者1.0\服?端\服?端.exe
In archive: E:\v15\複製 -流浪者1.0.rar
Status: Suspected virus
Virus: BehavesLike:Win32.Backdoor (BD-Engine)
Object: 複製 -流浪者1.0.rar
Path: E:\v15
Status: Virus detected
Virus: Trojan-Spy.Win32.Delf.tw (KAV engine), BehavesLike:Win32.Backdoor (BD-Engine)
Object: 庥誺絮 庥誺絮.exe
In archive: E:\v15\複製 -20051103wd.rar
Status: Virus detected
Virus: not-a-virusownloader.Win32.Cone.a (KAV engine)
Object: 庥誺絮\庥誺絮.exe
In archive: E:\v15\複製 -20051103wd.rar
Status: Virus detected
Virus: Backdoor.Cone.BX (BD-Engine)
Object: 複製 -20051103wd.rar
Path: E:\v15
Status: Virus detected
Virus: not-a-virusownloader.Win32.Cone.a (KAV engine), Backdoor.Cone.BX (BD-Engine)
Object: hxdef100r bdcli100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.084 (KAV engine)
Object: hxdef100r hxdef100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.073.b (KAV engine)
Object: hxdef100r rdrbs100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.084 (KAV engine)
Object: hxdef100r/src/driver driver.sys
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Win32.HacDef.073.b (KAV engine)
Object: hxdef100r\bdcli100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Trojan.Hacdef.084 (BD-Engine)
Object: hxdef100r\hxdef100.2.ini
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Generic.Hacdef.INI.C0089884 (BD-Engine)
Object: hxdef100r\hxdef100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Generic.Hacdef.7917C0A9 (BD-Engine)
Object: hxdef100r\hxdef100.ini
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Generic.Hacdef.INI.96E7B6FA (BD-Engine)
Object: hxdef100r\rdrbs100.exe
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Hacdef.1.0.0 (BD-Engine)
Object: hxdef100r\src\driver\driver.sys
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Hacdef.0.8.3 (BD-Engine)
Object: hxdef100r\src\driver.res (Embedded EXE g)
In archive: E:\v15\複製 -20051128hxdef100r.rar
Status: Virus detected
Virus: Backdoor.Hacdef.0.8.3 (BD-Engine)
Object: 複製 -20051128hxdef100r.rar
Path: E:\v15
Status: Virus detected
Virus: Backdoor.Win32.HacDef.084 (2x), Backdoor.Win32.HacDef.073.b (2x) (KAV engine), Trojan.Hacdef.084, Generic.Hacdef.INI.C0089884, Generic.Hacdef.7917C0A9, Generic.Hacdef.INI.96E7B6FA, Backdoor.Hacdef.1.0.0, Backdoor.Hacdef.0.8.3 (2x) (BD-Engine)
Object: 7.31weiba (拸褲唳)挕犖鹹汜TMhacker.exe
In archive: E:\v15\複製 -7.31weiba.rar
Status: Virus detected
Virus: Trojan.Win32.QQMess.a (KAV engine)
Object: 7.31weiba\(拸褲唳)挕犖鹹汜TMhacker.exe
In archive: E:\v15\複製 -7.31weiba.rar
Status: Virus detected
Virus: Trojan.Qqmess.A (BD-Engine)
Object: 複製 -7.31weiba.rar
Path: E:\v15
Status: Virus detected
Virus: Trojan.Win32.QQMess.a (KAV engine), Trojan.Qqmess.A (BD-Engine)
Analysis complete: 2006/11/25 下午 10:59
4 files checked
4 infected files detected
0 suspected files detected

[ㄚ一]

引用:

作者: esjustin

請問"微點"是?

大陸的安全軟體
是以行為判斷來分析是否為惡意程序的軟體

引用:

TO 阿一

這幾個檔案PANDA的未知威脅好像都無反應,幫忙看看
PCC皆有反應

還有虛擬系統該如何上網??

這些樣本我晚一點測試
我的panda現在變成這樣...


而且我現在再轉檔,沒有多餘的cpu跟ram去跑虛擬機
等工作結速再說吧...




虛擬機直接就可以上網啦
你的不行嗎?

[harry_chang2003]

引用:

作者: 阿一

大陸的安全軟體
是以行為判斷來分析是否為惡意程序的軟體




這些樣本我晚一點測試
我的panda現在變成這樣...


而且我現在再轉檔,沒有多餘的cpu跟ram去跑虛擬機
等工作結速再說吧...




虛擬機直接就可以上網啦
你的不行嗎?

區域網路可以 但網路就是連不上= = "

這跟無線網路有關嗎?

[ㄚ一]

跟wifi無關你變更一下虛擬機中網路的設定
每個選項都試試看

vmware server我在ubuntu上也在用
一樣是實體積可以上網,虛擬機就可以
不用什麼特別的設定

[proll]

引用:

作者: baba_yu

不需干預是可以的但也要指出行為 ,不然有見黑衣人就當賊的嫌疑

既然是無需人工干預，又何必把具體的情節告訴給用戶？何況這樣的告訴只會增加普通用戶的煩惱，現在要把東西做「智能化」很難，但要是做的像SSM GSS卻很容易，Panda的HIPS先進就在此處，我還未曾見過Panda的HIPS誤報過正常的文檔。

就算是卡巴的Proactive以及PC-CILLIN2007的HIPS，都只是半個男人而已，既沒有SSM GSS的靈活設置，又不能智能化判斷操作，這樣才是雞肋。(抱歉，可能有些过激，但实事的确如此）

Panda的HIPS多餘，還是那些見殼就報的「啟髮式」多餘？

[proll]

引用:

作者: harry_chang2003

你上次提供的1.exe樣本我也有反應 但是其他我測的都怪胎怪胎

這個圖片裡面的1.exe並非是上次那個1.exe，僅僅是名字相同而已。

[baba_yu]

引用:

作者: proll

既然是無需人工干預，又何必把具體的情節告訴給用戶？何況這樣的告訴只會增加普通用戶的煩惱，現在要把東西做「智能化」很難，但要是做的像SSM GSS卻很容易，Panda的HIPS先進就在此處，我還未曾見過Panda的HIPS誤報過正常的文檔。

就算是卡巴的Proactive以及PC-CILLIN2007的HIPS，都只是半個男人而已，既沒有SSM GSS的靈活設置，又不能智能化判斷操作，這樣才是雞肋。(抱歉，可能有些过激，但实事的确如此）

Panda的HIPS多餘，還是那些見殼就報的「啟髮式」多餘？

我從不推銷任何軟體 識貨人自然會懂

Panda hips 不指出行為 只會報原廠 報對還是誤報 這種軟體用久了 個人理性判斷認知只會更差讓人失去理性 沒意義

[proll]

複製 -20051128hxdef100r.rar 這裡面很多檔，分別運行3個exe後，Panda過段時間HIPS會提示阻斷可疑操作


其他的等下再测

[proll]

引用:

作者: baba_yu

我從不推銷任何軟體 識貨人自然會懂

Panda hips 不指出行為 只會報原廠 報對還是誤報 這種軟體用久了 個人理性判斷認知只會更差讓人失去理性 沒意義

做軟體是為了讓普通人去用，Panda的設計思路不是為了給我這些玩病毒測樣本的人來消遣。

軟體的功能越複雜，售後的困擾就會成幾何倍的增加，試想哪個公司會給自己的企業購買GSS或者SSM來做防護軟體？

軟體提供的安全度的增加，意味著軟體的易用性必定要成反比；而軟體的智能化、易用性的提高，意味著安全度必定不如層層、坎坎的標準HIPS軟體。但現實就是這樣，沒有人100％的安全，所以根本沒有必要追求絕對的安全，所有的HIPS軟體現在要做的，就是如何找到一個合適的層面，讓消費者能接收，而不是停留在「高精尖人才所掌握的技術」，更不是讓「菜鳥」們對照著高手們寫的「HIPS設置寶典」來生硬的套用，這些現象很可笑，不是嗎，追求的是100％的安全，但真正的安全真的就是這樣獲取的？
真正的用電腦的人，不是我們，而是那些不上這類論壇的人們，他們需要的是一個平穩的工作平台，他們需要的不是那些在他們看來，複雜的軟體，那些軟體在他們看來和病毒、木馬沒有區別。