Re: 小紅傘的解毒能力令人質疑 TR/Crypt.XPACK.Gen

看板AntiVirus (防毒)作者vintw (陽光好青年)時間16年前 (2010/04/16 02:12)推噓2(2推 0噓 3→)

留言5則, 4人參與討論串4/4 (看更多)

因為看到大家有在討論TR/Crypt.XPACK.Gen，所以我想說我的看法：請參考下面這個網址，是Avira對這個名稱的解釋頁面： http://www.avira.com/en/threats/section/fulldetails/id_vir/3488/tr_crypt.xpack.gen.html tr_crypt.xpack.gen.html 縮網址 http://ppt.cc/Xv1O 下面附上翻譯： Description 描述: A generic detection routine designed to detect common family characteristics shared in several variants. 一種用來偵測在多個(病毒)變種間共同特徵的通用偵測規則。 This special detection routine was developed in order to detect unknown variants and will be enhanced continuously. 這個特殊的偵測規則是設計來偵測未知的(病毒)變種，並且會不停的改進。簡單的說，這個規則對應到的"不是單一種病毒"，而是不存在目前資料庫裡面，但是看起來有這個特徵的東西都算在內。所以網路上所謂"中了這隻病毒要如何解"的方法應該都是不精確的，因為不一樣的病毒也可能會對應到同樣的代碼，但是清除方式可能不同。從它的命名方式我是這樣猜測的： Crypt -> 加密過的。 XPACK -> 古早以前有一個叫做XPACK的執行檔壓縮軟體，我猜跟這個有關... gen -> Generic，通用的。所以我猜應該是："通用規則：所有有被XPACK加密過的可疑程式"。 ...當然我不是Avira的員工所以上面都是猜的，不過小紅傘代理商似乎有在本板出沒，不知道可不可以解答一下XD 病毒碼不可能跟的上變種產生的速度，因此每一家防毒軟體多少都會有類似的通用規則，這可以說是某種程度的"啟發式偵測"，利用特徵把沒看過卻可能是病毒的找出來；這類的方法也會提高誤判的可能性，所以是提高偵測率卻降低辨識率的兩面刃。至於有板友提到，為什麼不把重要的系統檔作備份，然後中毒時還原他就好了？其實以前有一套免費防毒就有這功能，就是很多人推荐的Avast的第四版，叫做VRDB。不過，在最新的第五版這功能反而被拿掉了...XD 官方似乎也沒說原因。不過我猜是都可以注射系統檔了，那就已經是毒為刀俎，我為魚肉，無力回天了啦... 大部分的評比都是比偵測率的，很少比還原機率的，當然後者比前者更困難就是了。這也是大多使用者不能諒解的地方，希望廠商可以考慮加強這方面的功能。 -- Sincerely. --VinTW -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.45.52.7