发现自从样本区有人用小a测双击以来，小a在样本区的查杀率一下子上去了。

追影子的十三

zhym91 发表于 2013-2-17 18:14
所以说报的最多的Evo-gen有人还无知的以为是拉黑。。其实就是基于基因码的启发。。。这是导致avast在样本 ...

貌似所有的都报evo-gen。有时网页防护也会报evo-gen的

kankie

雙擊有一大好處就是能引發入沙動作，其實這個可以算作小A偵測未知病毒的能力。

zhym91

daixiaoran 发表于 2013-2-17 18:26
貌似所有的都报evo-gen。有时网页防护也会报evo-gen的

关于Evo-gen的问题，官方blog有过介绍，现摘录部分解释：
he second technology I mentioned, Evo-Gen, is somewhat similar but a bit subtler in nature. This is about finding as short and generic descriptions of large sets of malware samples as possible. Say you take a set of 1,000,000 malware samples (and 1,000,000 clean files) and give the algorithm the following task: find as few, and as brief descriptions of as many samples in the malware set, without describing any file in the clean set. Evo-Gen is a genetic algorithm that we have developed just for that. It often happens to find some real gems for us – e.g. a description of an apparently random set of tens of thousands of malware files scattered somewhat randomly across our virus sets. And the size of the description? 8 bytes.

From：http://blog.avast.com/2012/12/03/new-toy-research-lab/#more-11102

zhym91

kankie 发表于 2013-2-17 18:26
雙擊有一大好處就是能引發入沙動作，其實這個可以算作小A偵測未知病毒的能力。

这个还需加强，从样本区的情况来看miss掉的几率很大

曲中求

zhym91 发表于 2013-2-17 18:32
这个还需加强，从样本区的情况来看miss掉的几率很大

是吧？不知是样本区的样本的变化还是什么情况。我以前只要双击的样本99%的自动入沙。

现在的样本情况我也不是很了解，不知道质量和类型的变化。就是测得好多都是无效和PUP样本。

其实样本区的这些东西无论是类型还是行为都非常的一致。就那几样变来变去，换汤不换药。还有些PUP和无效的。某些杀软为什么那么高，原因就在这里。

barbara

zhym91 发表于 2013-2-17 18:14
所以说报的最多的Evo-gen有人还无知的以为是拉黑。。其实就是基于基因码的启发。。。这是导致avast在样本 ...

在装有网络防护模块的情况下，avast!确实有将卡饭附件判定为来源可疑并自动入沙的嫌疑。

zhym91

曲中求 发表于 2013-2-17 20:21
是吧？不知是样本区的样本的变化还是什么情况。我以前只要双击的样本99%的自动入沙。

现在的样本情况我 ...

嗯，你理解错了我的意思了。。我的意思是说入沙的样本很多最后都不能确认带毒，最后决定权还是交给了用户。而在入沙的程度上，的确如你所说，样本区的样本入沙率很高。

曲中求

zhym91 发表于 2013-2-17 21:00
嗯，你理解错了我的意思了。。我的意思是说入沙的样本很多最后都不能确认带毒，最后决定权还是交给了用户 ...

嗯，这个是，自动入沙分析确认的样本现在非常少。这个avast还有待加强。呵呵