【新引擎活动】瑞星V16+简要评测&相关问题

sbbdms

2楼：杀毒能力测试（瑞星V16+加强基础引擎&基因引擎查杀效果测试）

3楼：误报样本提交

4楼：相关建议&Bug提交

sbbdms

杀毒能力测试（瑞星V16+加强基础引擎&基因引擎查杀效果测试）：

测试帖链接：http://bbs.kafan.cn/thread-1649763-1-1.html

注：由于样本包体积较大且在测试过程中可以查杀的样本已被删除。。因此无法放上样本包链接了。。。

sbbdms

误报样本提交：

（已于11月8日处理）：http://bbs.kafan.cn/thread-1649763-2-1.html，第15楼。。

（未处理）：

产品版本：24.00.11.80

病毒库版本：25.1110.0001

相关设置：联网状态，开启基础引擎和基因引擎（决策引擎和云查杀未开启），未勾选“仅扫描流行病毒”选项。。

误报情况：



误报文件地址：http://pan.baidu.com/s/1imUpa

误报文件概况：

1、Sandboxie相关驱动（32位版本在3.52~3.76版本间误报。。64位版本在3.44~3.76版本间误报。。）

2、5+体育客户端相关文件（2.04版和2.06版，官方网址：http://download.sports.cntv.cn）
（2.04版：VT1/47：https://www.virustotal.com/zh-cn ... nalysis/1384093924/）
（2.06版：VT1/47：https://www.virustotal.com/zh-cn ... nalysis/1384093940/）

3、Windows 7 激活工具
（VT2/47，首次扫描时间4年前：https://www.virustotal.com/zh-cn ... 0cec9cfa4/analysis/）
（火眼：http://fireeye.ijinshan.com/anal ... 6d12b493&type=1）

4、由RPG Maker XP所制作游戏中的一个dll文件
（VT1/47，首次扫描时间4年9月前：https://www.virustotal.com/zh-cn ... nalysis/1384093210/）

注意：误报文件中的2个压缩包在扫描前请勿解压。。否则误报不复现。。！

建议从新引擎的相关判定上进行修复。。而不是仅仅将它们加入白名单。。。

sbbdms

相关建议&Bug提交：

操作系统：Windows 7 SP1 64位旗舰版

产品版本：24.00.11.80

病毒库版本：25.1110.0001

相关设置：联网状态。。开启基础引擎和基因引擎（决策引擎和云查杀未开启）。。未勾选“仅扫描流行病毒”选项。。

1、病毒库版本升级问题

就在不久前。。我的病毒库版本显示为25.1108.0003（11月9日未进行升级）。。点击托盘区的“软件升级”按钮后提示已是最新版本。。但经过观察。。一段时间过后病毒库版本变为25.1110.0001。。。

本人猜测该病毒库版本指的是决策引擎的病毒库。。建议在升级该病毒库时显示相关内容。。否则易使用户产生错觉（如在测试漏杀/误杀方面是否已修正时）。。。

2、扫描结束后对样本的处理问题

（注：此问题发生时间要早一些。。应是在11月8日上报第一批误报样本时。。）

本人在测试中将发现恶意程序后的处理方式设为手动处理。。扫描过程中也未勾选自动处理样本的选项。。。

在扫描第一批误报样本之后提示发现安全威胁且已处理0个。。随后本人进行了截图等操作。。当主界面再次显示时。。提示已处理1个。。。

再过一段时间查看。。显示已处理3个。。再过一段时间。。rsmain.exe报错并退出。。。

后来发现瑞星所采取的处理方式是“信任”。。白名单中有新添加的误报文件项目。。。

两点疑问。。第一点。。瑞星在设置为手动处理的情况下为何会在扫描结束后自动处理样本。。。

第二点。。为何瑞星刚好对此批误报样本采取了正确的信任操作。。而且处理速度似乎也比较慢。。最后主界面程序甚至报错退出。。在此期间是否通过后台进行了云鉴定。。但是本人并未开启云查杀。。也未连接至云中心。。此结果应如何解释。。。

由于当日测试主要目的为上报误报样本。。过程较为仓促从而没有截图。。。

今日再次进行测试。。暂时未复现此现象。。不知以后是否会有复现的可能。。。

3、白名单失效的问题

（注：此问题发生时间也略早一些。。应是在11月9日12时~15时半的这一段时间。。）

由于库存病毒样本进行测试的原因。。本人设置了若干条白名单。。并于12时开始进行全盘扫描（以彻底找出本机上的误报样本）。。。

至15时半回来查看时。。发现瑞星正在扫描原先设置在白名单内的文件。。。。还好没有设置自动处理样本。。否则我就该有得忙了。。。。。

白名单截图：



中断扫描后的截图：



今日再次进行测试。。暂时未复现此现象。。不知以后是否会有复现的可能。。。

4、相同环境下进行多次扫描结果不同的问题

此问题和第五个问题造成的影响应该是比较大的了。。它们的存在可能会使用户感到困惑。。同时对分析师查实和排除误报以及某些测评结果都可能会造成相当大的影响。。。

以这一次上报的误报样本为例。。第一次扫描结束报告了35个安全威胁：



第一次扫描结束后不作处理。。紧接着进行第二次扫描。。结果报告只发现了32个安全威胁：



先后两次的扫描结果不同。。再进行第三次扫描。。结果与第二次扫描相同。。不清楚如果再进行更多次的扫描。。结果还会不会存在差异：



最后。。将最外层文件夹的名称修改一下。。结果总算又与第一次扫描的结果相同了：



目前只知道修改文件夹的名称会消除缓存所造成的影响。。但也不能确定问题是否因此所产生。。望工程师进行排查。。。

此问题基本必现。。。

5、文件所处环境不同造成扫描结果不同的问题

此问题相当诡异。。直至目前本人仍未总结出相关的规律。。。

第4个问题当中有2个压缩包内的文件发生了误报。。其中一个压缩包内只有被误报的文件。。另一个压缩包内一开始是一个文件夹。。被误报文件连同其它文件一起存放在该文件夹内。。。

2个压缩包：



其中一个压缩包内文件：



另外一个压缩包内文件：





第一次扫描。。显示检测到2个安全威胁：



分别将2个压缩包内的文件进行解压。。并修改最外层文件夹的名称以清除缓存。。结果仍显示只检测到2个安全威胁：





起初我认为是文件分别处在压缩包内/外造成了检测结果的不同。。结果发现将第二个压缩包内被误报的文件单独压缩为一个压缩包。。这个文件依然不会被误报（仍然修改最外层文件夹的名称以清除缓存）：





吐血了。。难道是因为这个文件原先是在子文件夹里边的缘故。。？将这个文件重新放入子文件夹内用压缩包压缩。。结果仍未被误报（仍然修改最外层文件夹的名称以清除缓存）：







不得不说此现象实在诡异。。望工程师进行排查。。。

此问题出现频率未知。。。



未完待续。。如有更多的bug发现将会继续添加。。。

sbbdms

先顶上去吧。。不知道4楼的问题是否对测评产生了影响。。。

宇中之神

扫描方面的逻辑bug有一些，建议拿xp测

sbbdms

宇中之神 发表于 2013-11-10 21:41
扫描方面的逻辑bug有一些，建议拿xp测

虚拟机没装瑞星。。很想弄清楚是什么样的逻辑bug能产生如此奇葩的现象。。而且要紧的是手头上有一些被误报的文件。。想上报却不知应该将文件弄成什么形式才可。。和工程师描述也是相当的麻烦。。。

ihshs

瑞星新引擎bug不少。

ihshs

白名单设置图怪怪的，是PS了吗？

sbbdms

ihshs 发表于 2013-11-10 22:24
白名单设置图怪怪的，是PS了吗？

把用户名消去了。。。