不得不公佈！現在還有大廠在使用檔案大小判毒！

又有兩家廠商偷機被我抓包了！這兩家大廠居然用檔案大小的方式判斷病毒！
防毒軟體依據技術能力的不同，有技術有資金的廠商，會試著把解殼引擎、啟發引擎等加強
但是這兩個部分的加強不是說加強就可以馬上加強，如果程式設計師沒有具有一定的程度
是沒有辦法設計出一個有效的解決方案！

所以有些時候會出現一些沒什麼技術成分，卻又不恰當的偵測方式
例如檔案名稱以及雜湊值判斷！檔案名稱故名思意就是根據檔案名稱判斷
像一直以來都很猖獗的機器狗病毒，假設機器狗所有變種都會產生一個abc.sys的檔案．．

並且做為它的中心驅動，那有些廠商如果無法從技術上做抵禦的方法
可能就會開始走一些偏門，例如只要在windows\system32下產生的abc.sys一律報毒的這種做法！

或者是用雜測值偵測的方式，雜測值是一種資訊摘要演算法，兩個不同的檔案
是不可能得到相同的雜湊值，不過MD5已被破解，但這個不在這次的討論範圍內！
所謂的雜湊直就是利用SHA-1或者是MD5檢測檔案是否符合
只要一符合或又同時達成其它必要條件（例如檔案位置所在）既會報毒！

上述兩種方法一直都存在，像我在去年曾經踢報過金山毒霸利用檔案名報毒



當時就覺得太誇張了，但是到了今天更讓我驚訝的是現在居然有廠商用檔案大小來報毒！而且兩家都不是沒有技術跟資金的小廠商．．

這兩家廠商分別是在最新一次AV-TEST獲得非常優異成績的BitDefender以及AVIRA兩家知名大廠

他們私底下就我所知應該無任何技術交流，但是他們卻都用了同一種方式報毒
這種方式也不像樣本交換所導致出來的問題，因為它是經過引擎判斷結構
還有檔案大小後才做出來的判斷！

首先是BitDefender它報Trojan.Generic.74723
在以前有些人曾經猜測過，有些AV的定義名尾段這些奇怪的數字是什麼？
有些人覺得是某段的特徵長度，或者是由機器判斷的編號，也有人說是基因編號，也有人說是隨機產生不代表任何意義！

以上猜測我個人不予以否認，但是今天發生的事情讓我相信檔案大小偵測還確有其事！



不過只看BitDefender看不出個所以然來！AVIRA報的就清楚多了！
AVIRA把這個樣本報做TR/Agent.271995



請注意最後那段奇怪的數字271995，它居然跟樣本的檔案大小一致！



我把樣本解壓縮後再用BitDefender還有AVIRA再掃瞄一遍，居然沒有報了！
然後我又直接對樣本壓縮檔刪去或是增加檔案，讓檔案大小改變
最後確定檔案大小只要不是271995byte，它們就都不報了．．
也由於BitDefender的關係，導致GDATA也有這個問題



直接使得AVK 2009的高偵測率受到了多少質疑，因為我自己已經開始思考．．
這兩家AV究竟靠這類的方式，不一定是檔案大小這樣的方式！
而是類似這種靠檔案大小判斷的投機方式
到底額外獲得了多少偵測率？這真是一個有趣的問題！

高偵測率的背後究竟還有多少不為人知的問題？
就一般人而言，他們只重視偵測率，認為偵測率高就是最好
但是評判一個AV好或壞，偵測率絕對不是唯一或是最重要指標
但是又有多少人能夠看輕這一點呢？ (繼續閱讀...)

AVK 2008英文版推出!

期待已久的GDATA AntiVIrus 2008以前舊名為AntiViruskit 2008
目前已經正式推出了英文正式版了,跟AVK 2007一樣採用AVAST還有AVP雙引擎緝毒
由於雙引擎跟舊版沒有差別,所以可以把2007的帳號用在2008上,載資源佔用上較2007好了一些
對於網路釣魚的處裡方式都較舊版先進不少!

目前AVK 2008在大陸已經有代理商進駐,不過售價不平易近人
純防毒版的AVL就要500RMB,AVKIS則要700RMB
新推出的GDTC則要1000RMB以上,建議還是直接透逛網路跟原廠購買比較划算 (繼續閱讀...)

AVKIS 2008正式版推出!

AVKIS 2008德文版已經在德國上市,相信英文版跟簡體中文版也離我們不遠了
先跟大家預告一下,我這次會測試AVK TotalCare 2008
這是一個類似於Norton 360的安全套裝工具想知道他的表現如何靜待我的測試吧! (繼續閱讀...)

New GDATA AVK Series beta is Release

德國GDATA公司又放出了最新防毒軟體測試版,包括AVK,AVKIS,AVK Total Care
有興趣的朋友請自行下載測試 (繼續閱讀...)

AVKIS 2008b3.1 FireWall LeakTest

有鑒於KIS在FireWall LeakTest的優秀表現
同樣也採用AVP引擎的AVKIS也一樣被人有著高度的期待
現在我就來針對AVKIS來個簡單的LeakTest

首先因為我看不懂德文,也不想翻字典,所以沒有增加任自定義規則
測試的方法使用Matousec所提供的工具作檢測
測試的標準也比照Matousec進行,預設層級過不了,就是用最高層級進行測試,並且關閉AVKIS的病毒及時防護


1.顏色說明:
綠色=預設層級既可通過測試
紅色=最高層級無法通過測試
棕色=最高層級才可通過測試
N/A=無法受測


2.測試開始:
PC Flank:PASS
pcAudit:N/A
ZAbypass:Fail
LeakTest:PASS
DNStester:Fail
Coat:PASS
CPIL:PASS
AWFT:N/A
BITStester:PASS


結論:

這次的測試比較簡單,我想我還是等到英文版釋出後再來做一個比較詳細的測試
測試中AVKIS的資源佔用比以往有些不小的進步,但還是挺佔用資源的
如果不是特別偏愛GDATA,我想我還是用一般的FireWall就好了

嚴格來說AVKIS的牆確實是不錯
我在測試之前一直以為很兩光,因為在大陸論壇的風評並不好
但是實際跟那些TOP級的防火牆誰比較優還必須作更詳細的測試才知道
不過目前我可以告訴你,AVKIS的牆還算不錯,練習模式不吵人
alarm也很清楚明了,雖然是德文,但是你還是可以很明白他的功能選項

參考Matousec LeakTest Results可以發現可以同時過PC Flank跟BITStester的都是非常優秀的防火牆
進行一些線上LeakTest的表現也很好,不過這部分我沒貼出來就是了
可惜AVKIS的資源佔用真的有些吃不消,而且售價非常的嚇人
只要AVKIS售價跟資源可以更平易近人,我可是會買正版授權的

(繼續閱讀...)

AVK 2008beta3.1 is Release!

最新的Beta 3.1已經出了,有興趣的人來這邊下載
如果移除發生問題請使用專用移除工具

修正的部分:
- wenn die HTTP- Prüfung ausgeschaltet ist, entfällt beim Virenupdate der Dialog: "PhishingFilter - Das Update konnte nicht geladen werden"

- wenn das AVK einzeln installiert ist, so wird nach dem Virenupdate kein Phishingupdate durchgeführt

- Wächter- Optionen: Der Status der Option "Netzwerkzugriffe prüfen" wird nun gespeichert

- Kindersicherung: Die Kindersicherung wird nun direkt nach Aktivierung für einen Benutzer "scharf geschaltet" (Blacklist)

- verschiedene Bugfixes (繼續閱讀...)

AVKIS 2008 beta2 is Release!

前兩天才放出的beta1,現在又有beta2出來了

想要嚐鮮的朋友請到這裡下載

更新帳戶:
Name:InternetSe2
Pass:EQ2CFV

如果移除發生問題請使用專用移除工具 (繼續閱讀...)

AVK 2008beta1 is Release!

德文版,用的還是AVAST+AVP引擎
不曉得跟以往有什麼差別,等出了英文版再來詳細的檢視一下! (繼續閱讀...)