再度解密Smart Protection Network Reputation即SPNR报法【拒绝猜测，事实说话】

驭龙

我好几天没有上论坛了，今天刚上就发现@尘梦幽然        对我的说法有很深的质疑，源于此帖与@nick20010117    和@windows7爱好者     的讨论

其根本原因是我当初http://bbs.kafan.cn/thread-1412696-1-1.html 帖子中说Smart Protection Network Reputation报法，也就是SPNR.xxxxx报法是究竟是不是云报法。

之前尘梦幽然在http://bbs.kafan.cn/thread-1776610-1-1.html 已经充满质疑，我当初不想说什么，可现在的我不准备再有所顾虑，所以发帖说一说SPNR报法，现在我已经不怕得罪人，实话实说的话，我也无所谓了。

首先是理论篇，当初我之所以说SPNR是云信誉杀，不单单是因为它是Smart Protection Network Reputation的缩写，其真正原因在官网对TROJ_SPNR报法的描述，官方原文如下：

Trojans or Trojan horse programs refer to a family of malware that carry payloads or other malicious actions that can range from the mildly annoying to the irreparably destructive. They can also contribute to information-stealing attacks by other malware. Trojans may also modify an infected system's settings to automatically execute during startup. Restoring infected systems may require procedures apart from scanning with an antivirus software.

Trojans may be downloaded off the Internet. These may also be dropped by other malware onto systems or may be unknowingly installed by users into their systems.

Leveraging the power of the Trend Micro™ Smart Protection Network™, Trend Micro products detect and consequently remove malicious files classified as Trojans if these are found in locations where malware are usually installed and if the files exhibit common malware characteristics.

官方原文地址http://www.trendmicro.com/vinfo/ ... a/malware/TROJ_SPNR

带.XXXXX后缀的也明确表示是SPN的效果
http://www.trendmicro.com/vinfo/ ... re/TROJ_SPNR.0BFE11

另一种关于SPNR.XXXXX的描述
http://www.trendmicro.com.au/vin ... re/troj_spnr.03cg11

Scanning your system with your registered Trend Micro security solution removes this malware.

Trend Micro products are powered by the Trend Micro™ Smart Protection Network™, a technology designed to protect you from all kinds of online security threats, regardless of type, attack vector, or behavior.
If you suspect a false positive (i.e. you believe the detected file to be non-malicious), kindly submit a sample of the detected file through the following channels for analysis:

通过上述官方信息，大家足以看出SPNR报法是与趋势科技智能保护网络密不可分的报法了吧，可尘梦幽然质疑的原因是什么？为什么在有官方铁证的情况下，依然不认为SPNR是云报法？其实原因应该是SPNR报法出现在特征库更新中，而且加入到本地Consumer Pattern ，这是尘梦幽然质疑的根本原因。

我们先不说别的，就说Consumer Pattern 就与带Agent的特征还是有区别的，因为是离线版特征，企业版是可以调用不使用Agent的特征库，也就是离线库版本Consumer Pattern传统特征http://docs.trendmicro.com/all/e ... C414EBD4D__I_5bs5q_

当然这都不重要，重要的是个人版断网是否出现SPNR报法，这个是不是最能证明一切？

实际测试篇
我先是拿VirusSign上个月的样本包断网测试，报法中并没有SPNS报法，是吧？
扫描


威胁


日志


联网查杀


大量GEN.R报法，可惜没有出现SPNR报法。


我只能是使用样本区的那个样本测试，断网扫描，没有报威胁SPNR


联网以后过一会排队扫描报SPNR了，也就是说没有网络的情况下，SPNR并没有出现。


完整的查杀日志。


这里再说一下，之所以特征库中会更新SPNR报法的特征到本地，是因为本地在清除SPNR威胁的时候是需要定义的，而SPNR部分定义就在本地了，不过没有智能保护网络的情况下就无法报SPNR威胁，这有一点像Microsoft AntiMalware的plock报法，虽然是云杀，但plock的特征有一部分是在本地的，收到云响应就会出现plock杀，TrendMicro的SPNR也是差不多的情况。

驭龙

nick20010117 发表于 2016-2-12 12:14
明白了，真是长知识了

不客气，大家都是相互学习了，而且我也不一定正确，只是简单分享一下我的看法，不代表真的是正确的，仅供参考

nick20010117

解释的相当清楚，非常感谢发帖解决这个问题。（rq以后补上）
看来SPNR真的是云报法，趋势这个方面真的做的不错
@aboringman 来看看吧

驭龙

nick20010117 发表于 2016-2-12 12:02
解释的相当清楚，非常感谢发帖解决这个问题。（rq以后补上）
看来SPNR真的是云报法，趋势这个方面真的做的 ...

是的，虽然SPNR部分特征在本地库，可它还是需要云的，如同WD的plock杀，只有在本地更新plock特征以后，才会发挥云plock杀的效果，plock杀的特征更新，搜一下就有很多本地库更新记录
https://www.microsoft.com/en-us/ ... der=1_5_15_16_13_11

nick20010117

驭龙 发表于 2016-2-12 12:09
是的，虽然SPNR部分特征在本地库，可它还是需要云的，如同WD的plock杀，只有在本地更新plock特征以后，才 ...

明白了，真是长知识了

尘梦幽然

原来是这样猜出来的，不愧是驭龙大大。

驭龙

尘梦幽然 发表于 2016-2-12 12:39
原来是这样猜出来的，不愧是驭龙大大。

新年快乐

aboringman

感谢龙大解答，不说我还不知道有这回事呢

驭龙

aboringman 发表于 2016-2-12 12:51
感谢龙大解答，不说我还不知道有这回事呢

我也是今天上来一惊，无奈写个帖子吧，不过我对幽然的回复到此结束，也不解释了，因为大过年的，和气生财，他否认这个帖子，那就否认吧，我就不讨论这个话题了

尘梦幽然

驭龙 发表于 2016-2-12 12:54
我也是今天上来一惊，无奈写个帖子吧，不过我对幽然的回复到此结束，也不解释了，因为大过年的，和气生财 ...

并没有否认啊，作为猜测这个算很完整的了。
就像有人拿赛门铁克支持库的内容说Trojan.Gen是基因广谱……