小红伞的APC是MD5云吗？

追影子的十三

国内的查杀云貌似都是此类，小红伞的云貌似也是查杀云，不会也是通过MD5值查杀的吧...

国外貌似都以信誉云为主，什么MA，小a，诺顿什么的...查杀云貌似只有小红伞和毛豆？

诸葛亮

红伞的云先是上传特征值(根据监控日志来看，特征值估计就是sha256了)，云端没有此文件的信息的话，再上传。

aaa839

基本上已經有人解答了,我不作太多補充
,簡單點說,只要該檔案屬於未知或相關的下載連結屬於未知,(主要靠Kernel Sensor感應),Avira 就會自動啟動APC
網址就由AUC(Avira URL Cloud)負責,
流程->Kernel Sensor感應到未知的檔案/網址,便會啟動APC,然後APC先比對相關檔案的Hash值(主要避免重覆上傳,浪費時間和頻寬),假若APC或其快取有相關結果,就會直接顯示其掃瞄結果,安全/有害(HEUR/APC,或帶Cloud字尾的報法,)
網址的話便會交由AUC負責分析
AUC 報法會跟Web Protection的web filter類近
注:曾掃瞄過的檔案,APC亦會在本地進行快取,只要同一檔案再次觸發APC時,而APC快取有相關檔案的結果,就不會重覆上傳,並直接顯示相關結果。
相關的掃瞄紀錄,可查看Realtime protection的log files
入面會有類似以下的句子
APC

[INFO] The file 'xxx' was found in the cache; the Protection Cloud scan was skipped,SHA256 =

或

[INFO] The file 'xxx' was scanned with the Protection Cloud. SHA256 =

AUC:

[INFO] AUC login request succeed.
[INFO] AUC reports URL: XXX as 'Safe'.

如果APC伺服器並未有相關紀錄,該檔案會立即上傳至APC伺服器,並進行掃瞄及分析
(雲端中包含行為分析,動態啟發,沙盒,NV(Night Vision) Engine,AD(Auto Dump) 2.0,AI Learning等),
白皮書中提及非常清楚,整個過程是全自動且封閉
http://www.avira.com/files/for-b ... tectionCloud_EN.pdf
並會即時反饙相關的結果,安全/有害,
如反映是安全,便會放行,
相反如是有害,該檔案會仍舊被禁止執行並顯示(HEUR/APC,或帶Cloud字尾的報法)
整個APC由上傳至反饙結果的過程,耗時可少至即時或需幾秒鐘。

注:該檔案或連結需被APC掃瞄及分析時,如同本地發現病毒一樣,會先被禁止執行。

未來AUC會直接整合至Web protection內提供更全面的保護

欧阳宣

从我知道的情况来看，APC是比较笨的那种第一代云查杀，白皮书里似乎没有提到信誉

白露为霜

发现可疑向云端提交特征码，如果云端有记录，本地就会封锁，如果没有，则自动上传文件分析。。。

特征码指的是？？

bzaf868

不认识的文件会上传分析。云端已经分析过的文件，或者要紧急拉黑的文件，自然就是比对一下hash。但是不知道有没有其它的技术，比如云特征码之类的。
你所说的查杀云和信誉云，区别是？

fuzhk

@aaa839

追影子的十三

bzaf868 发表于 2015-11-22 10:08
不认识的文件会上传分析。云端已经分析过的文件，或者要紧急拉黑的文件，自然就是比对一下hash。但是不知道 ...

查杀云基础的就是通过hash查杀，高端点的会有云启发以及一些防免杀的措施，比如上传云端分析什么的。

信誉云是基于社区评级，云端有个基于信誉的黑白名单，白名单内的就放行，黑名单内的就干掉（黑名单这块貌似和查杀云差不多），搭配信誉云的本地查杀貌似都会比较激进，本地引擎认为是病毒会对比云端信誉，在名单内就放行。高端点的会配合主防，一个文件行为有疑似危险行为，信誉就减一点，到了一定阈值就干掉...

诸葛亮

另外，据我看过的红伞BLOG，未知文件会在云端跑行为。
所以，红伞的云可以说有云主防+云查杀。

追影子的十三

诸葛亮 发表于 2015-11-22 14:20
另外，据我看过的红伞BLOG，未知文件会在云端跑行为。
所以，红伞的云可以说有云主防+云查杀。

那未知文件在跑行为的过程中是默认禁止还是放行的？

诸葛亮

daixiaoran 发表于 2015-11-22 14:29
那未知文件在跑行为的过程中是默认禁止还是放行的？

是阻止运行的，只有云端确认安全了才放行。