一个蛋疼的故事……我真的不是fs的黑，你们要相信我！

蓝核

一开始我很开心，fs最近居然2次超过了BD，真是哦也哦也思密达！

但是今天给人回答上报的时候我顺手看了一下……

这是上次的帖子
至少在5月7号晚上10点的时候还是这个截图

http://bbs.kafan.cn/thread-1564706-1-1.html

但是今天%

他已经clean了……


http://fireeye.ijinshan.com/anal ... b19f8c5476db5393989

挖鼻子，感觉好像不算大的恶意行为……

但是我本地扫描的话，用
2013-05-09_03 的毒库
还是杀9个

用昨天6点前的毒库 2013-05-08_03


日志打包……



所以问题就是

第一，fs和bd本地病毒库延迟到底多长？
第二，hydra到底是启发还是扫描引擎？
第三，fs的本地和云端的差距？
除非云端分析系统用的毒库不一样……

然后还有更奇葩的哦！


也就是分析系统认为该样本是clean的情况下，在VT的扫描结果内，依然报毒


你可以注意到，BD已经入库，但是fs的命名方式仍然没有统一，这个就是代表延迟

https://www.virustotal.com/zh-cn ... nalysis/1368078320/

所以你们亲爱的蓝核，已经头晕了……

fs的上报系统怎么了！！你说！你说~~~~~~

个人认为原因是因为hydra的定义数据库暂时没有更新……

青春虎

1、fs与bd的确有延迟，在样本区VT结果上出现好几次了

2、SAS上的库可能更加新吧，没问题了才开放升级？


应该是本地hydra与SAS上的有延迟？

蓝核

青春虎 发表于 2013-5-9 14:43
1、fs与bd的确有延迟，在样本区VT结果上出现好几次了

2、SAS上的库可能更加新吧，没问题了才开放升级？
...

目测还要修正该病毒定义。。。反正bd入库了。。。

紫皇雷帝

我有点晕，

蓝核

紫皇雷帝 发表于 2013-5-9 17:06
我有点晕，

简单的说，（假设这个情况入库不讨论规则）fs先于bd抓了个毒，通过更新，本地和官方系统库都认为他是毒
然后官方的库突然觉得他不是病毒了。。。本地由于没有接受到这个更新过的定义，仍然报毒

ccc-a

1.VT里在多达几十种杀软的情况下，个别杀软是会出现”VT本应实时更新的毒库“于“杀软本地毒库”更新同步不统一的现象。
2.感觉要研究毒库延迟现象还是不宜佐以FSCS系列。而是<在无法采用FSIS 2013的情况下>应该使用FSTP版做主要依据，还可以顺道比对一下FSCS 10.0看看具体结果如何？呵呵，指不定FSCS和FSIS或FSTP都不同步啦

yc513847

大水冲了龙王庙，自家人打起来了。这到底是听BD的呢，还是听FS自己的呢？
看样子，还是以BD的为准。

蓝核

ccc-a 发表于 2013-5-9 17:18
1.VT里在多达几十种杀软的情况下，个别杀软是会出现”VT本应实时更新的毒库“于“杀软本地毒库”更新 ...

我纯粹吐槽。。没别的，我这边安装tp和is无意义。。。我在看看他怎么打自己嘴巴。难怪我好多上报的病毒还是clean。。。这也算原因吧。。。。

紫皇雷帝

蓝核 发表于 2013-5-9 17:15
简单的说，（假设这个情况入库不讨论规则）fs先于bd抓了个毒，通过更新，本地和官方系统库都认为他是毒
...

这个，这个，看来最后还是听了bd的

---

宁为王者慨赴死，不为膝下图苟活。 至今犹感思诺记，不肯屈身用安卓。

ccc-a

蓝核 发表于 2013-5-9 17:21
我纯粹吐槽。。没别的，我这边安装tp和is无意义。。。我在看看他怎么打自己嘴巴。难怪我好多上报的病毒还 ...

主要是想看看FSIS 2013于FSCS系列之间的毒库是否一定就是同步的？会不会FSCS系列在企业版应“慎重”的情况下会采取延迟几天，避免误报误杀？FSIS 2013作为家庭版，于BD库同步的情况又是如何？