小白使用BD的1h的感想，，杂谈，慎入，求BD区大神身处援手

pal家族

没错，
人生中第一次使用BD。

我知道大家对于BD的ATC津津乐道，不少人喜欢那塔莱双击，不少人喜欢翻阅官方典籍给我们科普BD是有多么厉害。
现在我们大家都知道BD是多么NB啦。

你们有人可能看了我在司机区发的一个有趣的帖子，里面详细介绍了卡巴的很多数据库结构相关的内容。
（老实讲，我压箱底的东西都差不多被那个帖子刨出来了）
还有，你们有用趋势科技的，知道趋势每个组件在那个文件夹里吗？（本机云端病毒码，损害复原模板，行为监控特征码，等。。）找得到趋势科技的隔离区在那里吗？

是不是觉得我很神经病，找这些东西干嘛啊。。。。
唉，闲着慌呗。。。。就去翻着看了。


确实一般人哪里需要关注这些啊。。。
不过我就是那种不光要看脸，看胸，看hips弧度，都不够，还非要把人家裙子掀起来看不可描述的内容。。。不仔细看一遍就觉得没意思的老YD。
哈哈。。







就在刚才，虚拟机里安装了BD。  如果雷锋看到了，你可以给我发样本了，，，我终于安装虚拟机了、，，，
安装过程稍微尴尬一点，就是升级IE浏览器。。。还好在微屁恩加持下，agent下载离线包和update都很正常、
然后我就开始掀裙子了。。。

好家伙，这一掀起来，可了不得了。

1 简单粗暴。数据库文件夹里散着一大堆signature文件，好像还取名字叫plugin~~~~~~2333。400MB特征好像，8000W+特征，大力出奇迹！
2 不太明白有些东西摆放的位置为啥那么奇怪。。。。比如说firewall组价，跑到common files里了，还有两个驱动。
3 ATC！！！
ATC！！！
ATC！！！
ATC模块已经超出了我的理解能力了。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

真的。。。
我结合了各位大牛的BD演说，发现我比安装BD前还闹不清楚atc是个啥玩意了。

可能ATC是外星人，或者特异功能者设计的东西吧。




ATC使用了虚拟化技术，但是不和其他使用虚拟化技术的软件冲突？
ATC是打分制的，恶意成度高了就拦截？
ATC是靠行为特征来拦截的，符合特征库里恶意行为特征的程序被拦截？而这个特征是可以持续更新的？
ATC是。。。。。。。。

BD的大牛们，救我啊！！！！！！

RUAOT

给你来捧个场，就论第一个问题作为初学者的我想说，只要开着atc校园网就打不开（提示请不要在虚拟环境下使用这是2016,2017就是直接打不开）。各种排除没用处，弄得我也是醉醉哒，每次开机联网还要先进bd把atc关掉，才能打开客户端。顺便说一句你又换头像了。

fireherman

楼主不是一般的YD，是极度YD；

家里有个好男人卡巴斯基，每天安安全全送你把妹去，快快乐乐接你回家，你倒不知足；偏要去罗马尼亚找个小白脸尝鲜一把，结果把BD这个妖孽带回家，小心……卡巴斯基：我要跟你离婚！！！！


路边的野花不要采
https://ss0.bdstatic.com/y0s1hSu ... 8c8afe7b73b41f866fe

送你送到小村外
有句话儿要交待
虽然已经是百花开
路边的野花你不要采
记着我的情记着我的爱
记着有我天天在等待
我在等着你回来
千万不要把我来忘怀

j2016

我讨厌bd，每次杀毒后，给我不显示隐藏文件和不隐藏已知文件扩展名

有点自说自话的味道

pal家族

fireherman 发表于 2017-1-31 16:26
楼主不是一般的YD，是极度YD；

家里有个好男人卡巴斯基，每天安安全全送你把妹去，快快乐乐接 ...

Aing

我最好奇的是：族族到底是正太还是萝莉呢

欧阳宣

BD的plugins文件夹好像不像其他BD系的特征库文件夹，里面还放了用特征库整合好了的扫描缓存，所以会比比如FS的大一圈

fireherman

pal家族 发表于 2017-1-31 16:30

百毒差评！

pal家族

欧阳宣 发表于 2017-1-31 16:31
BD的plugins文件夹好像不像其他BD系的特征库文件夹，里面还放了用特征库整合好了的扫描缓存，所以会比比如F ...

如果BD的扫描也用了黑科技（不得不用，400MB的特征库，要死人的）
那么，一定是smartMD5cache文件和smartdb文件。一个是缓存一个是某种特殊的特征库缓存机制（我猜的）
要不然为何使用这么大的特征库扫描却不慢，监控也不算卡呢。。。

用processexplore看的BD service加载了其他不少cache问件，但是是资源管理器里定位不到的。不知道怎么回事。
plugin里倒是也有一些cache，不太清楚和服务加载和smartdb有什么关系。。
特殊黑科技吧

不过讲道理，BD的结构真是乱（业余人士瞎感觉的），比蛐蛐那种一个大框子里面各种小框子，有的一拼。

小白也来抛砖引玉。
1.实际上BD的特征库没有那么大，完整特征库900多个文件，大约180MB。8000w你确定没多看一个0？
2.BD的文件夹分类确实比较迷，这个和卡巴不能比。
3.ATC确实是基于打分制。当程序运行时，先查询云端信誉，再基于程序行为进行评分。对于ATC的敏感度调整本质上是调整BD判断恶意程序的阈值。
2015版BD使用硬件虚拟化，当时与虚拟机，沙盘都存在一定兼容性问题，新版本调整了ATC的实现方式，因此可以和sbie共存。
4.目前尚不清楚ATC的具体评分机制，但推测其评分规则位于本地。从更新文件看，ATC会通过update更新。更新内容可能包括漏洞特征和评分规则。但由于缺少官方说明和对照测试，该点并未被证实。
以上是本人理解，如有错误，请各位dalao补充指正。 @ccboxes @230f4 @linzh @君陌潇 @85683213