[讨论]只是改了个文件名，卡巴就不报了……-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]只是改了个文件名，卡巴就不报了……

发表于: 2009-2-20 13:28 13856

[讨论]只是改了个文件名，卡巴就不报了……

yinX

2009-2-20 13:28

13856

附件里的文件，是一个EXE
用卡巴（我用的是卡巴7）扫描，是不报的，
但如果把名字由00031742_L3.exe改成00031743_L3.exe,卡巴就报了，文件内容是完全一样的

我百思不得其解

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

00031742_L3.rar （80.94kb，64次下载）

收藏・4

免费・0

支持

最新回复 (30) 1 2 ▶
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 2 楼说明了？？？ 2009-2-20 14:38 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 3 楼我也不知道为什么会这样，我是来求解的不知道大家的机器上有没有这种情况。 2009-2-20 15:04 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼这个是卡巴特有的扫描算法呵呵。 2009-2-20 15:21 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 5 楼我还以为根据文件名来判断病毒是智慧星独创的呢 2009-2-20 17:29 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 6 楼这个00031743_L3名字符合某个卡巴的病毒特征！！所以它就报了误报很正常，但是误报率很高的的话就不正常了。 2009-2-21 14:49 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 7 楼宁可错杀一千，也不能放过一个 2009-2-21 16:41 0
xiaoAngel 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	xiaoAngel 8 楼这是某些杀毒软件走的路线。 2009-2-21 23:47 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 9 楼嗯，其实很好理解。就在你改名字这段时间，病毒库升级了。你把名字该回去再试试，一样杀的。你这个不会真的就是病毒吧？ 2009-2-21 23:58 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 10 楼这个只是把计算器和记事本程序捆绑后的EXE，我一个小菜鸟怎么敢在看雪里乱来嘛不过00031742_L3.exe不杀，然后改成00031743_L3.exe被杀了，然后再改回00031742_L3.exe还是不杀…… 2009-2-22 00:41 0
aburrido 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	aburrido 11 楼真牛误报有的时候很讨厌 2009-2-22 01:12 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 12 楼杀软真的这么强，实际LZ是走运了，你改成43，正好杀软睡醒，你改成42，杀软补觉去了，只是运气比较好吧~~！ 2009-2-22 07:54 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 13 楼宁可错杀一千，也不能放过一个 2009-2-22 08:48 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 14 楼卡巴也会这样啊？没碰过 2009-2-22 11:15 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 15 楼反病毒引擎版本最后更新扫描结果 a-squared 4.0.0.93 2009.02.22 BehavesLikeWin32.ProcessHijack!IK AhnLab-V3 2009.2.21.0 2009.02.21 Dropper/Sramler.39936 AntiVir 7.9.0.87 2009.02.21 Worm/Rbot.XFC Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 Win32:Sramler-J AVG 8.0.0.237 2009.02.21 Dropper.Tiny BitDefender 7.2 2009.02.22 BehavesLike:Win32.ProcessHijack CAT-QuickHeal 10.00 2009.02.20 TrojanDropper.Sramler.e ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 BackDoor.IRC.Combot eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 Win32/Injectset F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 W32/Malware Fortinet 3.117.0.0 2009.02.21 W32/Sramler.IU!tr GData 19 2009.02.22 Win32:Sramler-J Ikarus T3.1.1.45.0 2009.02.22 BehavesLikeWin32.ProcessHijack K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 Heur.Trojan.Generic McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.21 VirTool:Win32/DelfInject.gen!A NOD32 3875 2009.02.21 a variant of Win32/Injector.AQ Norman 6.00.06 None.. W32/Malware nProtect 2009.1.8.0 2009.02.22 Trojan-Dropper/W32.Sramler.160256 Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 High Risk Cloaked Malware Rising 21.17.52.00 2009.02.21 Trojan.Win32.Sramler.aa SecureWeb-Gateway 6.7.6 2009.02.22 Worm.Rbot.XFC Sophos 4.39.0 2009.02.22 Mal/Sramler-A Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - ViRobot 2009.2.20.1617 2009.02.20 Backdoor.Win32.Bifrose.52736.D VirusBuster 4.5.11.0 2009.02.21 - 2009-2-22 11:31 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 16 楼卡巴要真象你说得这么弱，也没法在江湖混这么多年~~~ 2009-2-22 11:40 0
凉水冰凉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	凉水冰凉 17 楼文件名也是可用特征的一种。一个正常软件是不会用这样的名字的。 2009-2-22 13:46 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 18 楼这个观点真的是值得商榷的，我一家之言，正规反病毒产品应该都不会用文件名来作为特征判定的，因为随机性太强了。当然，如果是有人工参与的判定，可以作为特征。 2009-2-23 10:48 0
星光小蓝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	星光小蓝 19 楼不好意思，楼主这个捆绑程序是用什么工具捆绑的呢？代码有点奇怪，有创建新进程并修改新进程数据的代码 2009-2-23 17:59 0
xiechuan 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xiechuan 20 楼正常的啦，在你的机器上不会报的哦，在别的机器上肯定报了！ 2009-2-23 18:11 0
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 21 楼宁可错杀一千，也不能放过一个新出的病毒名称吧 2009-2-23 18:28 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 22 楼卡巴这么菜，不是吧 2009-2-24 18:59 0
bfld 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 85 粉丝 0 关注私信	bfld 23 楼我的是卡巴KIS8.0，一点那个压缩包就报木马。 2009-3-12 22:05 0
zenix 雪币： 2411 活跃值： (1412) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 24 楼把它再改成別的名字, 只要和原來的名字不一樣, 就會報毒了吧? 我相信卡巴不會那麼笨. 也是這文件名, 被你設定信任或例外排除了. 2009-3-13 10:44 0
WarmIce 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	WarmIce 25 楼有这事，得试一试呵呵 2009-3-24 09:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yinX

发帖

122

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
梦魇颖雨雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	梦魇颖雨 2 楼说明了？？？ 2009-2-20 14:38 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 3 楼我也不知道为什么会这样，我是来求解的不知道大家的机器上有没有这种情况。 2009-2-20 15:04 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼这个是卡巴特有的扫描算法呵呵。 2009-2-20 15:21 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 5 楼我还以为根据文件名来判断病毒是智慧星独创的呢 2009-2-20 17:29 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 6 楼这个00031743_L3名字符合某个卡巴的病毒特征！！所以它就报了误报很正常，但是误报率很高的的话就不正常了。 2009-2-21 14:49 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 7 楼宁可错杀一千，也不能放过一个 2009-2-21 16:41 0
xiaoAngel 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	xiaoAngel 8 楼这是某些杀毒软件走的路线。 2009-2-21 23:47 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 9 楼嗯，其实很好理解。就在你改名字这段时间，病毒库升级了。你把名字该回去再试试，一样杀的。你这个不会真的就是病毒吧？ 2009-2-21 23:58 0
yinX 雪币： 377 活跃值： (432) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 122 粉丝 1 关注私信	yinX 2 10 楼这个只是把计算器和记事本程序捆绑后的EXE，我一个小菜鸟怎么敢在看雪里乱来嘛不过00031742_L3.exe不杀，然后改成00031743_L3.exe被杀了，然后再改回00031742_L3.exe还是不杀…… 2009-2-22 00:41 0
aburrido 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	aburrido 11 楼真牛误报有的时候很讨厌 2009-2-22 01:12 0
menting 雪币： 1657 活跃值： (291) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 12 楼杀软真的这么强，实际LZ是走运了，你改成43，正好杀软睡醒，你改成42，杀软补觉去了，只是运气比较好吧~~！ 2009-2-22 07:54 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 13 楼宁可错杀一千，也不能放过一个 2009-2-22 08:48 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 14 楼卡巴也会这样啊？没碰过 2009-2-22 11:15 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 15 楼反病毒引擎版本最后更新扫描结果 a-squared 4.0.0.93 2009.02.22 BehavesLikeWin32.ProcessHijack!IK AhnLab-V3 2009.2.21.0 2009.02.21 Dropper/Sramler.39936 AntiVir 7.9.0.87 2009.02.21 Worm/Rbot.XFC Authentium 5.1.0.4 2009.02.21 - Avast 4.8.1335.0 2009.02.22 Win32:Sramler-J AVG 8.0.0.237 2009.02.21 Dropper.Tiny BitDefender 7.2 2009.02.22 BehavesLike:Win32.ProcessHijack CAT-QuickHeal 10.00 2009.02.20 TrojanDropper.Sramler.e ClamAV 0.94.1 2009.02.22 - Comodo 983 2009.02.20 - DrWeb 4.44.0.09170 2009.02.22 BackDoor.IRC.Combot eSafe 7.0.17.0 2009.02.19 - eTrust-Vet 31.6.6368 2009.02.20 Win32/Injectset F-Prot 4.4.4.56 2009.02.21 - F-Secure 8.0.14470.0 2009.02.22 W32/Malware Fortinet 3.117.0.0 2009.02.21 W32/Sramler.IU!tr GData 19 2009.02.22 Win32:Sramler-J Ikarus T3.1.1.45.0 2009.02.22 BehavesLikeWin32.ProcessHijack K7AntiVirus 7.10.639 2009.02.21 - Kaspersky 7.0.0.125 2009.02.22 Heur.Trojan.Generic McAfee 5532 2009.02.21 - McAfee+Artemis 5532 2009.02.21 - Microsoft 1.4306 2009.02.21 VirTool:Win32/DelfInject.gen!A NOD32 3875 2009.02.21 a variant of Win32/Injector.AQ Norman 6.00.06 None.. W32/Malware nProtect 2009.1.8.0 2009.02.22 Trojan-Dropper/W32.Sramler.160256 Panda 10.0.0.10 2009.02.21 - PCTools 4.4.2.0 2009.02.21 - Prevx1 V2 2009.02.22 High Risk Cloaked Malware Rising 21.17.52.00 2009.02.21 Trojan.Win32.Sramler.aa SecureWeb-Gateway 6.7.6 2009.02.22 Worm.Rbot.XFC Sophos 4.39.0 2009.02.22 Mal/Sramler-A Sunbelt 3.2.1855.2 2009.02.17 - Symantec 10 2009.02.22 - TheHacker 6.3.2.4.263 2009.02.21 - TrendMicro 8.700.0.1004 2009.02.20 - ViRobot 2009.2.20.1617 2009.02.20 Backdoor.Win32.Bifrose.52736.D VirusBuster 4.5.11.0 2009.02.21 - 2009-2-22 11:31 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 16 楼卡巴要真象你说得这么弱，也没法在江湖混这么多年~~~ 2009-2-22 11:40 0
凉水冰凉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 0 关注私信	凉水冰凉 17 楼文件名也是可用特征的一种。一个正常软件是不会用这样的名字的。 2009-2-22 13:46 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 18 楼这个观点真的是值得商榷的，我一家之言，正规反病毒产品应该都不会用文件名来作为特征判定的，因为随机性太强了。当然，如果是有人工参与的判定，可以作为特征。 2009-2-23 10:48 0
星光小蓝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	星光小蓝 19 楼不好意思，楼主这个捆绑程序是用什么工具捆绑的呢？代码有点奇怪，有创建新进程并修改新进程数据的代码 2009-2-23 17:59 0
xiechuan 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xiechuan 20 楼正常的啦，在你的机器上不会报的哦，在别的机器上肯定报了！ 2009-2-23 18:11 0
wangxlxk 雪币： 214 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 127 粉丝 0 关注私信	wangxlxk 21 楼宁可错杀一千，也不能放过一个新出的病毒名称吧 2009-2-23 18:28 0
moonife 雪币： 370 活跃值： (52) 能力值： ( LV13，RANK：350 ) 在线值：发帖 133 回帖 852 粉丝 5 关注私信	moonife 8 22 楼卡巴这么菜，不是吧 2009-2-24 18:59 0
bfld 雪币： 192 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 85 粉丝 0 关注私信	bfld 23 楼我的是卡巴KIS8.0，一点那个压缩包就报木马。 2009-3-12 22:05 0
zenix 雪币： 2411 活跃值： (1412) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 24 楼把它再改成別的名字, 只要和原來的名字不一樣, 就會報毒了吧? 我相信卡巴不會那麼笨. 也是這文件名, 被你設定信任或例外排除了. 2009-3-13 10:44 0
WarmIce 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	WarmIce 25 楼有这事，得试一试呵呵 2009-3-24 09:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复