banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận virus, trojan, spyware, worm... Tính năng cần thiết cho 1 AV  XML
  [Question]   Tính năng cần thiết cho 1 AV 12/06/2007 17:40:46 (+0700) | #1 | 64302
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hello,
Các bạn có thể đề xuất tính năng cần thiết cho 1 AV tại đây.

Một số tính năng mới sẽ xuất hiện trong phiên bản sau của [FireLion] FastHelper:
Code:
+ AutoRuns và HostFile Monitor
+ AutoPlay Fixer (đã post bản thử nghiệm)

Sau đó, Hoàng sẽ làm 1 poll xem tính năng nào được nhiều người bầu chọn nhất để thực hiện trước.

Ngoài ra, Hoàng cũng cần mọi người test giùm [FireLion] FastHelper trên nhiều PC khác nhau để phát hiện ra lỗi có thể. Sau một thời gian ổn định sẽ ra mắt bản chính thức 6.0.
Lỗi đã biết ở bản hiện tại:
Code:
+ Không chạy được boom (www.boom.com.vn) khi [FireLion] FastHelper đang thực thi


Thanks all
[Up] [Print Copy]
  [Question]   Re: Tính năng cần thiết cho 1 AV 15/06/2007 12:49:50 (+0700) | #2 | 64818
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
MOD đổi lại là, tính năng thêm vào cần thiết cho một AV mới .

Monitor host, LSP, session lạ(truy cập trái phép), homepage modify.
Hiện các process đang chạy, scan hidden data stream( không biết tiếng Việt dùng luôn tiếng Anh).
Tính ra MD5 của file, tiện so sánh với file gốc.

Và nhiều tính năng chưa kịp thu lượm. smilie
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Tính năng cần thiết cho 1 AV 16/06/2007 03:15:42 (+0700) | #3 | 64883
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
FastHelper: Chức năng hỏi trước khi trình duyệt gọi một .exe rất hay smilie) Với chức năng này thì cách kích hoạt virus qua link sẽ bị hạn chế chỉ hạn chế thôi vì nó chỉ có ý nghĩa với người hiểu biết còn với người kô hiểu biết thì họ vẫn click "đồng ý" mà chẳng quan tâm .exe sắp kích hoạt có chức năng gì smilie .

Em nghĩ nên add sẵn những .exe của những ứng dụng bình thường và những .exe của OS để đỡ làm người sử dụng cẩn thận "bối rối" và hạn chế được những thông báo thừa.(chẳng hạn AcroRd32.exe,wmplayer.exe...)

Bỏ nút "xóa trắng" ở mục "Kiểm tra" và mục "Chứng thực". Em nghĩ hai nút này là thừa, Thêm vào thì phải thêm từng dòng vậy mà cho đi tất cả chỉ bằng một cái nháy chuột smilie

Ở mục "Chứng thực" nên thêm chức năng "chọn tất cả" giống mục "kiểm tra". Chọn tất cả rồi "xóa" vẫn còn hơi dễ dãi em nghĩ nên có thêm cảnh báo " Bạn có chắc là muốn xóa hết các tất cả chứng thực hay kô?"

Có thêm nút "Chứng thực" ở cạnh nút "thực thi" để người dùng đỡ phải vào mục "Chứng thực" để thêm. Hoặc tự động chứng thực nếu người dùng đồng ý thực thi.


[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 17/06/2007 17:04:28 (+0700) | #4 | 65247
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Em nghĩ nên add sẵn những .exe của những ứng dụng bình thường và những .exe của OS để đỡ làm người sử dụng cẩn thận "bối rối" và hạn chế được những thông báo thừa.(chẳng hạn AcroRd32.exe,wmplayer.exe...)
 

Mỗi khi chương trình update lên new version thì đoạn mã đã khác. Không thể dùng cách này được.


Có thêm nút "Chứng thực" ở cạnh nút "thực thi" để người dùng đỡ phải vào mục "Chứng thực" để thêm. Hoặc tự động chứng thực nếu người dùng đồng ý thực thi.
 

Thường thì người dùng không cần mục "Chứng thực". Ngoại trừ AutoIt.General (các ứng dụng viết bằng AutoIt) mà người dùng biết rõ.


Monitor host, LSP, session lạ(truy cập trái phép), homepage modify.
Hiện các process đang chạy, scan hidden data stream( không biết tiếng Việt dùng luôn tiếng Anh).
Tính ra MD5 của file, tiện so sánh với file gốc.
 

Đã có monitor autorun reg, lsp, host, homepage trong bản 5.2.8 rồi đó tmd.
Hiện các process đang chạy thì có tool Process Manager rồi.
Todo:
+ Scan ADS
+ Hosts File Editor (sẽ có trong version 5.2.9)

Tính ra MD5 của file, tiện so sánh với file gốc.
 

Cái này để làm gì tmd ? Save lại 1 list md5 của current folder và so sánh ? Cách này MS đã làm rồi nhưng có vẻ không ổn vì 1 số file thay đổi thường xuyên.

Hoàng chưa có mẫu nào sử dụng ADS hết, tmd có không ?
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 18/06/2007 00:24:43 (+0700) | #5 | 65286
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Đã có lỗi khi cài .8.
http://www.freefileupload.net/file.php?file=files/170607/1182054082/error.txt
MD5 cho một file nào đó mình muốn. Coi như là option phụ thêm. Cái này tui xài hijackthis nên đề nghị thêm.
Mẫu ADS trong số mẫu cũ trước đây. Hình như có 1 con. Để dò lại rồi thông báo lại cho mod.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 18/06/2007 04:06:59 (+0700) | #6 | 65316
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Fixed. tmd download lại file này xem:
http://fasthelper.fire-lion.com/download/FastHelper.exe
[Up] [Print Copy]
  [Question]   Re: Tính năng cần thiết cho 1 AV 18/06/2007 14:55:57 (+0700) | #7 | 65410
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Hic.. hic em vừa phát hiện ra một vấn đề nữa của FastHelper. Đó là khi em quét một folder và phát hiện ra virus nhưng em kô ấn diệt mà em delete bằng tay rùi mới ấn diệt thì FastHelper làm máy em treo cứng luôn, kô mở nổi task manager hay bất kì ứng dụng nào phải ấn nút restart trên case.

chỉ làm được thao tác Alt + Tab thôi smilie) Khi đó em đang viết bài này. Chuyên đến chỗ viết thì vấn viết được, ấn được nút "gởi đi" nhưng chẳng thấy gì smilie cứ hi vọng là đã gửi được bài nào ngờ restart xong vào chả thấy bài đâu, lại phai viết lại vậy :cry:
[Up] [Print Copy]
  [Question]   Re: Tính năng cần thiết cho 1 AV 18/06/2007 15:03:14 (+0700) | #8 | 65412
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
Em thấy các AV khác thường tạo ra trên menu khi ta right click vào file hay folder một dòng cóc chức năng scan, Em nghĩ chức năng này rất tiện lợi.

Khi em mở một folder có chứa virus hay thậm chí copy folder đó đi đâu đó mà FastHelper vẫn kô phát hiện ra có virus --> hình như chưa có chức năng quét các file trong folder mà người dùng truy cập tới (BKAV cũng thế), chức năng này ở AVG, KAV đều có, thậm chí các AV này còn quét cả USB khi mới cắm vô máy nhưng họ kô phát hiện ra file virus nếu nó +s +h.
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 18/06/2007 16:21:40 (+0700) | #9 | 65419
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Hic.. hic em vừa phát hiện ra một vấn đề nữa của FastHelper. Đó là khi em quét một folder và phát hiện ra virus nhưng em kô ấn diệt mà em delete bằng tay rùi mới ấn diệt thì FastHelper làm máy em treo cứng luôn, kô mở nổi task manager hay bất kì ứng dụng nào phải ấn nút restart trên case.
 

Đã fix lỗi này trên phiên bản 5.2.9, sẽ ra mắt sớm smilie. Thank GS.


Khi em mở một folder có chứa virus hay thậm chí copy folder đó đi đâu đó mà FastHelper vẫn kô phát hiện ra có virus
 

Hoàng không thực thi tính năng này vì quét quá nhiều sẽ làm chậm hệ thống. Khi nào người dùng thực thi thì mới quét thôi.
[Up] [Print Copy]
  [Question]   Re: Tính năng cần thiết cho 1 AV 19/06/2007 01:10:30 (+0700) | #10 | 65494
[Avatar]
Ghost Ship
Member

[Minus]    0    [Plus]
Joined: 21/03/2007 12:10:46
Messages: 467
Location: Đáy biển
Offline
[Profile] [PM]
@bác Hoàng: Trong mục "cấu hình" chỉ có 2 lựa chọn là "tắt" hoặc mở nên em nghĩ nếu thay ComboBox bằng CheckBox thì hay và trực quan hơn.

Mà em kô hiểu khi tắt thì khác khi mở như thế nào, bác giải thích em với smilie)
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 02:51:24 (+0700) | #11 | 65503
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
ah, nếu thay ComboBox thành RadioButton thì không tiện lắm vì chiếm nhiều diện tích. Sẽ có thêm một số options khác nữa bên dưới cho các phiên bản sau.

Theo dõi hệ thống dùng để monitor các giá trị auto run và hosts file...
Còn tự bảo vệ là kiểm tra file mỗi khi thực thi
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 07:49:49 (+0700) | #12 | 65548
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chào bác Hoàng,

Cho gsmth góp ý một số tính năng cần thiết cho một AV như sau:

1) Ngăn (hoặc hỏi người sử dụng) khi thấy có hành động inject code, DLL vào những process đang chạy (Có lẽ phải hook 1 số hàm API để làm việc này).

2) Ngăn (hoặc hỏi người sử dụng) khi 1 chương trình "không rõ nguồn gốc" nào cố tình ghi vào Registry.

3) Có nên? Tạo sẵn một danh sách Hash (dùng MD5 hoặc sử dụng thuật toán Hash khác nhanh hơn) cho một số chương trình thường hay dùng -a- trên Windows (như YIM, IE, Game, MS.Office, ..). Fast Helper sẽ dựa vào danh sách Hash này để đưa cảnh báo phù hợp với người dùng khi những chương trình -a- cần cập nhật bản sửa lỗi hoặc đã bị thay đổi.

4) Làm cho Fast Helper tàng hình (tránh malware kill Fash Helper smilie )

Có vài ý kiến cho AV (Fast Helper) như vậy smilie
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 12:19:25 (+0700) | #13 | 65604
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

1) Ngăn (hoặc hỏi người sử dụng) khi thấy có hành động inject code, DLL vào những process đang chạy (Có lẽ phải hook 1 số hàm API để làm việc này).
 

hmmm... có nên không ? Cũng có nhiều chương trình làm chuyện này, hỏi người dùng thì người dùng cũng có biết "inject code" là cái gì đâu smilie ?


2) Ngăn (hoặc hỏi người sử dụng) khi 1 chương trình "không rõ nguồn gốc" nào cố tình ghi vào Registry.
 

Làm thế nào để biết là "không rõ nguồn gốc" ?


3) Có nên? Tạo sẵn một danh sách Hash (dùng MD5 hoặc sử dụng thuật toán Hash khác nhanh hơn) cho một số chương trình thường hay dùng -a- trên Windows (như YIM, IE, Game, MS.Office, ..). Fast Helper sẽ dựa vào danh sách Hash này để đưa cảnh báo phù hợp với người dùng khi những chương trình -a- cần cập nhật bản sửa lỗi hoặc đã bị thay đổi
 

Danh sách này sẽ dài như thế nào smilie ?


4) Làm cho Fast Helper tàng hình (tránh malware kill Fash Helper smilie )
 

Trong các phiên bản trước, Hoàng có apply tính năng chống kill, suspend process nhưng test lại thì chưa work tốt với Vista nên tạm thời remove.

Thank gsmth
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 13:14:07 (+0700) | #14 | 65619
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
Chào bác,

hmmm... có nên không ? Cũng có nhiều chương trình làm chuyện này, hỏi người dùng thì người dùng cũng có biết "inject code" là cái gì đâu smilie ?
 

gsmth nghĩ là cần và hay. Lý do: không cớ gì can thiệp vào process khác (không kể những ct đặc thù). AV khác cũng có tính năng này, ví như Kaspersky.


Làm thế nào để biết là "không rõ nguồn gốc" ?
 

Fash Helper có thể dựa vào kết quả lần scan trước (những file đã scan).


Danh sách này sẽ dài như thế nào smilie ?
 

Ngắn chứ không dài đâu.. ví dụ một Web developer thì trong C:\Program Files có khoảng 48 folders tương ứng 48 chương trình smilie Fash Helper không cần hash tất cả 48 mà chỉ hash những chương trình thông dụng, gsmth nghĩ có thể làm được.


Thank gsmth
 

Anytime.
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 13:23:37 (+0700) | #15 | 65620
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

gsmth nghĩ là cần và hay. Lý do: không cớ gì can thiệp vào process khác (không kể những ct đặc thù). AV khác cũng có tính năng này, ví như Kaspersky.
 

Một số chương trình như Unikey, edit memory (như ArtMoney) hay Auto Võ Lâm gì đó, inject vào memory cũng không thiếu.


Fash Helper có thể dựa vào kết quả lần scan trước (những file đã scan).
 

Cái này chỉ phù hợp với những file không thay đổi thường xuyên thôi.
Đối với những file tạo mới (do trojan) thì thế nào ?
Đối với những developer thường xuyên edit source, compile thì thế nào ?


Ngắn chứ không dài đâu.. ví dụ một Web developer thì trong C:\Program Files có khoảng 48 folders tương ứng 48 chương trình thôi smilie Fash Helper không cần hash tất cả 48 mà chỉ những chương trình thông dụng, gsmth nghĩ có thể làm được.
 

Nội trong folder Windows và Windows\System32 có cả trăm file .exe smilie
Ngoài ra còn các file .exe phụ đi kèm theo chương trình nữa, cũng phải được đưa hết vào white list.
Chưa kể, mỗi khi chương trình ra new version, trong db cũng phải chứa info của old & new info của file .exe đó :-|. Số lượng cực kỳ khủng khiếp
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 13:48:48 (+0700) | #16 | 65624
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

Một số chương trình như Unikey, edit memory (như ArtMoney) hay Auto Võ Lâm gì đó, inject vào memory cũng không thiếu.
 

Fast Helper có thể đưa ra câu hỏi đơn giản tới người dùng lựa chọn smilie



Cái này chỉ phù hợp với những file không thay đổi thường xuyên thôi.
Đối với những file tạo mới (do trojan) thì thế nào ?
Đối với những developer thường xuyên edit source, compile thì thế nào ?
 

Fast Helper có thể chạy scan trong lúc hệ thống idle.


Nội trong folder Windows và Windows\System32 có cả trăm file .exe smilie
Ngoài ra còn các file .exe phụ đi kèm theo chương trình nữa, cũng phải được đưa hết vào white list.
Chưa kể, mỗi khi chương trình ra new version, trong db cũng phải chứa info của old & new info của file .exe đó :-|. Số lượng cực kỳ khủng khiếp
 

Cũng không nhiều đâu bác. Ví dụ: nếu sử dụng MD5 (128bit) hash cho 32000 file, space cần cỡ khoảng là 512.000byte + một số byte info khác, nếu nén lại sẽ còn ít nữa.
NGoài ra việc check old & new của ct thì không nhất thiết cứ phải hash mới biết được (thông tin có thể lấy từ registry hay filesize, etc).
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 19/06/2007 16:10:16 (+0700) | #17 | 65628
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]

Fast Helper có thể đưa ra câu hỏi đơn giản tới người dùng lựa chọn smilie
 

Câu hỏi là: Chương trình ABC có ý định [b]inject code[b] (inject code là... gì vậy ta, cứ... OK mà click smilie) vào DEF, bạn có cho phép ko. Hả gsmth smilie ?


Fast Helper có thể chạy scan trong lúc hệ thống idle.
 

chỗ này gsmth hiểu nhầm ý Hoàng. Tức là checksum chỉ thích hợp cho hệ thống mà file ít thay đổi. Nếu không sẽ bị hỏi nhiều.


Cũng không nhiều đâu bác. Ví dụ: nếu sử dụng MD5 (128bit) hash cho 32000 file, space cần cỡ khoảng là 512.000byte + một số byte info khác, nếu nén lại sẽ còn ít nữa.
 

Có 2 điều khó xử ở đây:
1. Mỗi lần hash md5 rất lâu tuỳ vào kích thước file (cái này có thể khắc phục dùng checksum được)
2. Cứ mỗi lần 1 file được thực thi, chương trình phải quét khoảng 512 KB white list và 1 cái Virus DB thì hơi bị nhiều.

Chưa kể, vụ old & new version ý Hoàng là vầy.
Ví dụ chương trình Acrobat Reader, nếu muốn chắc chắn, bạn phải lưu cả từ version... 5.0 đến version mới nhất. 1 chương trình có khoảng 10 file .exe, mỗi file .exe có khoảng 5 version thì rất nhiều.
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 20/06/2007 04:22:00 (+0700) | #18 | 65732
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]

LeVuHoang wrote:

Fast Helper có thể đưa ra câu hỏi đơn giản tới người dùng lựa chọn smilie
 

Câu hỏi là: Chương trình ABC có ý định [b]inject code[b] (inject code là... gì vậy ta, cứ... OK mà click smilie) vào DEF, bạn có cho phép ko. Hả gsmth smilie ?


Fast Helper có thể chạy scan trong lúc hệ thống idle.
 

chỗ này gsmth hiểu nhầm ý Hoàng. Tức là checksum chỉ thích hợp cho hệ thống mà file ít thay đổi. Nếu không sẽ bị hỏi nhiều.


Cũng không nhiều đâu bác. Ví dụ: nếu sử dụng MD5 (128bit) hash cho 32000 file, space cần cỡ khoảng là 512.000byte + một số byte info khác, nếu nén lại sẽ còn ít nữa.
 

Có 2 điều khó xử ở đây:
1. Mỗi lần hash md5 rất lâu tuỳ vào kích thước file (cái này có thể khắc phục dùng checksum được)
2. Cứ mỗi lần 1 file được thực thi, chương trình phải quét khoảng 512 KB white list và 1 cái Virus DB thì hơi bị nhiều.

Chưa kể, vụ old & new version ý Hoàng là vầy.
Ví dụ chương trình Acrobat Reader, nếu muốn chắc chắn, bạn phải lưu cả từ version... 5.0 đến version mới nhất. 1 chương trình có khoảng 10 file .exe, mỗi file .exe có khoảng 5 version thì rất nhiều. 

Chào bác Hoàng,
Bác cân nhắc tính năng nào thấy thiết thực cho FH thì thêm.
Chúc dự án FH phát triển tốt.
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 24/06/2007 07:52:49 (+0700) | #19 | 66570
JAL_
Member

[Minus]    0    [Plus]
Joined: 23/06/2007 19:59:31
Messages: 1
Offline
[Profile] [PM]
Với các chương trình viết bằng AutoIT:
1. BKAV liệt vào black list mà không cần xem xét gì cả.
2. FH nếu không làm như BKAV thì nên có cơ chế cảnh báo để người dùng lựa chọn.

Mình chưa xem hết tính năng của FH nên chưa biết nó xử lý trường hợp này thế nào?
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 24/06/2007 12:17:58 (+0700) | #20 | 66610
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
FastHelper cũng detect tất cả những file được viết bằng AutoIt. Với những loại AutoIt đã được xác định (như nhatquanglan, YiMBot...) thì chương trình cấm thực thi hẳn. Còn đối với những loại AutoIt chưa biết, chương trình sẽ cảnh báo là "AutoIt.General" và cho phéo người dùng lựa chọn có muốn thực thi hay không.
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 24/06/2007 21:36:23 (+0700) | #21 | 66648
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
AV của Hoàng có quét theo hành vi không, có tạo lập một emulator để load các virus không. Các mẫu vừa rồi, khi vừa down về thì Bit detect được, nhưng khi tui unpack xong thì không detect ra nữa. vd như file kspoold.exe, pack = upx.
[Up] [Print Copy]
  [Question]   Tính năng cần thiết cho 1 AV 25/06/2007 01:01:50 (+0700) | #22 | 66686
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
hm... đáng lẽ unpack ra thì mới dễ detect theo hành vi chứ anh smilie. Em thử cái kspool thì bit detect được là vì nó đã nằm trong dữ liệu của bit. Hình như tên là Backdoor.Delf.Spold.A thì phải...
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|