首页
社区
课程
招聘
[讨论]只是改了个文件名,卡巴就不报了……
发表于: 2009-2-20 13:28 13858

[讨论]只是改了个文件名,卡巴就不报了……

2009-2-20 13:28
13858
附件里的文件,是一个EXE
用卡巴(我用的是卡巴7)扫描,是不报的,
但如果把名字由00031742_L3.exe改成00031743_L3.exe,卡巴就报了,文件内容是完全一样的

我百思不得其解

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (30)
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
说明了???
2009-2-20 14:38
0
雪    币: 377
活跃值: (432)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
我也不知道为什么会这样,我是来求解的
不知道大家的机器上有没有这种情况。
2009-2-20 15:04
0
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个是卡巴特有的扫描算法呵呵。
2009-2-20 15:21
0
雪    币: 377
活跃值: (432)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
我还以为根据文件名来判断病毒是智慧星独创的呢
2009-2-20 17:29
0
雪    币: 107
活跃值: (200)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这个00031743_L3名字符合某个卡巴的病毒特征!!所以它就报了
误报很正常,但是误报率很高的的话就不正常了。
2009-2-21 14:49
0
雪    币: 225
活跃值: (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
7
宁可错杀一千,也不能放过一个
2009-2-21 16:41
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这是某些杀毒软件走的路线。
2009-2-21 23:47
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
9
嗯,其实很好理解。就在你改名字这段时间,病毒库升级了。你把名字该回去再试试,一样杀的。

你这个不会真的就是病毒吧?
2009-2-21 23:58
0
雪    币: 377
活跃值: (432)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
10
这个只是把计算器和记事本程序捆绑后的EXE,我一个小菜鸟怎么敢在看雪里乱来嘛

不过00031742_L3.exe不杀,然后改成00031743_L3.exe被杀了,然后再改回00031742_L3.exe还是不杀……
2009-2-22 00:41
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
真牛 误报有的时候很讨厌
2009-2-22 01:12
0
雪    币: 1657
活跃值: (291)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
12
杀软真的这么强,实际LZ是走运了,你改成43,正好杀软睡醒,你改成42,杀软补觉去了,只是运气比较好吧~~!
2009-2-22 07:54
0
雪    币: 303
活跃值: (466)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
宁可错杀一千,也不能放过一个
2009-2-22 08:48
0
雪    币: 474
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
卡巴也会这样啊?
没碰过
2009-2-22 11:15
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
15
反病毒引擎 版本 最后更新 扫描结果
a-squared 4.0.0.93 2009.02.22 BehavesLikeWin32.ProcessHijack!IK
AhnLab-V3 2009.2.21.0 2009.02.21 Dropper/Sramler.39936
AntiVir 7.9.0.87 2009.02.21 Worm/Rbot.XFC
Authentium 5.1.0.4 2009.02.21 -
Avast 4.8.1335.0 2009.02.22 Win32:Sramler-J
AVG 8.0.0.237 2009.02.21 Dropper.Tiny
BitDefender 7.2 2009.02.22 BehavesLike:Win32.ProcessHijack
CAT-QuickHeal 10.00 2009.02.20 TrojanDropper.Sramler.e
ClamAV 0.94.1 2009.02.22 -
Comodo 983 2009.02.20 -
DrWeb 4.44.0.09170 2009.02.22 BackDoor.IRC.Combot
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6368 2009.02.20 Win32/Injectset
F-Prot 4.4.4.56 2009.02.21 -
F-Secure 8.0.14470.0 2009.02.22 W32/Malware
Fortinet 3.117.0.0 2009.02.21 W32/Sramler.IU!tr
GData 19 2009.02.22 Win32:Sramler-J  
Ikarus T3.1.1.45.0 2009.02.22 BehavesLikeWin32.ProcessHijack
K7AntiVirus 7.10.639 2009.02.21 -
Kaspersky 7.0.0.125 2009.02.22 Heur.Trojan.Generic
McAfee 5532 2009.02.21 -
McAfee+Artemis 5532 2009.02.21 -
Microsoft 1.4306 2009.02.21 VirTool:Win32/DelfInject.gen!A
NOD32 3875 2009.02.21 a variant of Win32/Injector.AQ
Norman 6.00.06 None.. W32/Malware
nProtect 2009.1.8.0 2009.02.22 Trojan-Dropper/W32.Sramler.160256
Panda 10.0.0.10 2009.02.21 -
PCTools 4.4.2.0 2009.02.21 -
Prevx1 V2 2009.02.22 High Risk Cloaked Malware
Rising 21.17.52.00 2009.02.21 Trojan.Win32.Sramler.aa
SecureWeb-Gateway 6.7.6 2009.02.22 Worm.Rbot.XFC
Sophos 4.39.0 2009.02.22 Mal/Sramler-A
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.22 -
TheHacker 6.3.2.4.263 2009.02.21 -
TrendMicro 8.700.0.1004 2009.02.20 -
ViRobot 2009.2.20.1617 2009.02.20 Backdoor.Win32.Bifrose.52736.D
VirusBuster 4.5.11.0 2009.02.21 -
2009-2-22 11:31
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
16
卡巴要真象你说得这么弱, 也没法在江湖混这么多年~~~
2009-2-22 11:40
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
文件名也是可用特征的一种。 一个正常软件是不会用这样的名字的。
2009-2-22 13:46
0
雪    币: 101
活跃值: (88)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
18
这个观点真的是值得商榷的,我一家之言,正规反病毒产品应该都不会用文件名来作为特征判定的,因为随机性太强了。

当然,如果是有人工参与的判定,可以作为特征。
2009-2-23 10:48
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
不好意思,楼主这个捆绑程序是用什么工具捆绑的呢?代码有点奇怪,有创建新进程并修改新进程数据的代码
2009-2-23 17:59
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
正常的啦,在你的机器上不会报的哦,在别的机器上肯定报了!
2009-2-23 18:11
0
雪    币: 214
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
宁可错杀一千,也不能放过一个      新出的病毒名称吧
2009-2-23 18:28
0
雪    币: 370
活跃值: (52)
能力值: ( LV13,RANK:350 )
在线值:
发帖
回帖
粉丝
22
卡巴这么菜,不是吧
2009-2-24 18:59
0
雪    币: 192
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
我的是卡巴KIS8.0,一点那个压缩包就报木马。
2009-3-12 22:05
0
雪    币: 2411
活跃值: (1412)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
把它再改成別的名字,
只要和原來的名字不一樣,
就會報毒了吧?

我相信卡巴不會那麼笨.
也是這文件名, 被你設定信任或例外排除了.
2009-3-13 10:44
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
有这事,得试一试
呵呵
2009-3-24 09:36
0
游客
登录 | 注册 方可回帖
返回
//