小红伞“根据文件大小判断病毒”的测试

　　大家看一下我的结果吧：

　　我的测试结果正好和此贴原著截然相反：

　　首先，我测试这个磁碟机的样本setup.exe（winrar自解压文件）时，小红伞报DR/Xorer.A.3 [dropper]

　　其次，解压测试内部病毒本体时（文件名也是setup.exe），小红伞报TR/Xorer.94208' [trojan]，这个正好和实际病毒文件大小相同。

　　但是，重要的是以下内容：

　　为了验证小红伞是否根据文件大小来进行判断。我突发奇想，用编辑器修改了一下这个病毒本体，将其大小由94208修改为94206，修改后病毒仍然可以运行，破坏作用相同。再次用小红伞检查，发现仍然报TR/Xorer.94208' [trojan]。（没有出现不报的情况，大家注意）

　　大家注意没有，小红伞根本没有去检查病毒的大小，而是根据特征库检查的。

　　所以我认为：这个94208只是定义病毒版本的。也即是说，该病毒原版病毒本体（当它被制作出来的时候）大小是94208的版本被检测出来。

　　请大家不必惊慌。

　　根据以上测试表明：小红伞并非判断病毒的文件大小。