Cloud与WS以及诺顿的引擎

显示全部楼层 · 发表于 2012-1-18 20:55:40

在诺顿报毒的名称里透露出了许多关于引擎的“不能说的秘密”。其中有明显的几大类：Suspicious/WS/Trojan，其他的在测试病毒的时候没碰到，暂时不说。
问题1：Suspicious后面有一小类叫做Cloud，看字面意思应该是云启发。而WS，某位朋友说是the wisdom of crowds，是云查杀。问题出来了，Cloud与WS有什么区别，为什么不叫Suspicious.WS.XXX呢？
问题2：Suspicious后面有个小类名字叫Mystic，这个看字面意思是“神秘”（我没记错吧），是什么意思呢？
问题3：诺顿现在杀毒模块除了本地传统查杀，本地启发，云启发，云信誉，云查杀还有什么我不知道的？

显示全部楼层 · 发表于 2012-1-18 22:13:00

本帖最后由 wjhstu-VxG 于 2012-1-18 22:17 编辑

觉得Suspicious.Cloud是真正的云定义启发

WS.Reputation应该是根据信誉数据确定的启发，可能和传统启发关系不大，在下载评估时貌似出现很多，并且很多误报……技术太新的缘故

Suspicious.MH啥的也应该是本地启发

只知道那么多了，其实LZ可以去官方论坛问问~~

显示全部楼层 · 发表于 2012-1-18 22:31:26

还有一类是WS和trojan的结合，比如WS.Trojan.H，WS.Trojan.G
http://www.symantec.com/security ... 2011-102713-4647-99

查杀案例
http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037

这种报法比1L中其他几种都少见，而且以误报居多，魔方和金山的WPS是主要受害者
http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid22720299
http://bbs.kafan.cn/thread-1078372-1-1.html

显示全部楼层 · 发表于 2012-1-18 22:57:44

本帖最后由 wjcharles 于 2012-1-18 22:58 编辑

另外我猜测，WS系列应该是由文件的分布、传播情况和来源网站分析得出的，比如金山的网盘是信任的，下载的未知文件可能不会杀，换一个网盘就触发WS.reputation.x了；
Suspicious.Cloud.x可能有部分是病毒在客户端触发sonar等反馈到云端后查杀的，因为从样本区可以发现这类的病毒报法反应最快，先双击sonar杀，经常几小时后就会扫描出Suspicious.Cloud.x了

显示全部楼层 · 发表于 2012-1-18 23:06:30

曾经被sus.cloud报的神经的人路过看看

显示全部楼层 · 发表于 2012-1-18 23:42:07

x.cloud报得比较多

[讨论] Cloud与WS以及诺顿的引擎

评分

评分

浏览过的版块