管中窥豹：从精睿包看China Pattern在世界的地位（新编辑）

尘梦幽然

  常有人说，趋势China Pattern是个去除某些灰色软件后的国际病毒码+中国区病毒码的残废产物。
  这让我产生了兴趣。难不成趋势还有这个闲情逸致来天天去逐个审核、削去国际病毒码里的灰色软件部分啊？这岂不是又平添了一份人工筛选成本吗？可是结合趋势在中国的销售状况，不太可能再添人手去管这事儿啊。而且最重要的是，趋势的国际病毒码如诸位大大所述，实际上在国内误报是很低的，根本没有必要杞人忧天。如果想要避免误报，倒不如直接把中国几大软件商的数签全部拉白，岂不快哉？（注意，趋势是有“数字签名特征码”的，我想过去是可以实现我的设想的）
  那究竟是什么原因造成趋势China Pattern和国际病毒码之间差异的呢？那China Pattern和国际病毒码之间，差异又是否仅限于“灰色软件”呢？
  今天，让我们来管中窥豹，做一个猜想吧！
  重磅有请2014年9月1日的精睿包：http://bbs.kafan.cn/thread-1768578-1-1.html
  为什么我选择精睿包？因为经过一段时间的观察，近期的精睿包经常选取的是一些发布时间已久的国外流行病毒，这样我可以充分避开因为病毒太新而造成的同步周期问题。（因为各区病毒码之间同步需要时间）这些样本估计在未来也不会再同步到趋势China Pattern了。
  经过趋势繁中8.0、趋势简中8.0扫描后，剩余未处理文件如下（修改日期为8.27的为miss样本）：
  
  经过清点，趋势简中不杀，繁中杀的文件有7个。

  这7个文件分别为：

  分析报告：
http://fireeye.ijinshan.com/anal ... 229&type=1#full
http://fireeye.ijinshan.com/anal ... 87b&type=1#full
http://fireeye.ijinshan.com/anal ... 877&type=1#full
http://fireeye.ijinshan.com/anal ... 49f&type=1#full
http://fireeye.ijinshan.com/anal ... 8c2&type=1#full
http://fireeye.ijinshan.com/anal ... 0f9&type=1#full
http://fireeye.ijinshan.com/anal ... db3&type=1#full
  趋势繁中对它们的检测分类为：

  总结：
  1.诸位仔细看完上面的报告以后就会发现，所谓China Pattern的国际病毒码仅仅只是削去灰色软件吗？这里全部的样本都是行为很明显的国外流行病毒木马！（有些是从国外盗号木马家族改编而来的。只有一个国产QQ盗号木马）
  2.我们可以注意到，China Pattern的版本是领先于国际病毒码的。另一个事实是，虽然同是用国际病毒码，台湾、日本和国际版的趋势产品之间检测率也有差距。
  3.根据趋势公开介绍，中国是世界上除了美国之外另一个拥有两个Region TrendLabs的国家。（一个在天津，一个在上海）并且，趋势在南京有全球第二大的研发中心。
  4.我的猜测是：趋势在利用国内高素质并且相对低成本的人力资源在集中做国际病毒码，通过Security Intelligence收集来的国际大宗流行病毒样本会在中国进行处理（所以China Pattern率先搭载了最新国际病毒码，版本最高），然后由中国的RTL共享给全世界的RTL，再由各RTL自行添加自己地区截获和用户提交的病毒样本，并在某个周期内在中国之外的某个国家进行进行全球同步。可是因为我们国内有伟大的墙，所以实际上接触国外病毒并不多，所以趋势中国为了减少不必要的力量开支，而没有再让我们国内制作的国际病毒码再和整个国际其他国家RTL补登的病毒码同步。（这样就能解释的通为什么China Pattern能达到国际病毒码总查杀的相当水平，但是国际病毒码中的某些部分一直不会和China Pattern同步）但是说，China Pattern中的某些中国本土流行病毒码却能在一定周期后和国际病毒码同步：http://bbs.kafan.cn/thread-1768178-1-1.html
  5.另一个事实是，有饭友说过，China Pattern有时应对样本区的新病毒还能爆发一下。我想，是不是因为China Pattern确实搭载了最新的国际病毒码，所以才能对样本区的某些样本有独特的反应。毕竟美系的入库速度是偏慢的，而且样本区的样本又新质量又高，没有最新的病毒码，美系很难做到特征码查杀。
  6.有人会质疑上述问题的可能性...嗯，我只是随便说说：赛门铁克的误报分析处理系统是成都安全响应中心做的。成都研发基地作为赛门铁克全球最大研发基地，其下属成都安全响应中心最重要任务不是宣传所述应对本土病毒，而是针对全球病毒进行响应。成都安全响应中心的工程师和我说过，他们做启发式引擎的开发部门几乎没有见过国内病毒送来的，都是国外流行病毒送来让他们研发新启发式引擎...所以我也有理由相信，China Region TrendLabs的核心工作，或许和对外界宣传的不太一样。或许，China Pattern只是一个兼职。

尘梦幽然

占楼编辑。
@寒山竹语 记得@饭@avast 说过，China Pattern有时应对样本区的新病毒还能爆发一下。我想，是不是因为这个原因呢（或许因为确实搭载了最新的国际病毒码）

独孤无语

尘梦幽然 发表于 2014-9-1 22:45
占楼编辑。
@寒山竹语 记得有饭友说过，China Pattern有时应对样本区的新病毒还能爆发一下。我想，是不是 ...

你以为小小的测试就可以知道真正的差别了么
告诉你，去趋势的下载站点，会有惊喜告诉你。
http://downloadcenter.trendmicro ... _file&regs=NABU
请留意95后缀，这才是最最全的简中的71还只是先行版

尘梦幽然

独孤无语 发表于 2014-9-1 23:20
你以为小小的测试就可以知道真正的差别了么
告诉你，去趋势的下载站点，会有惊喜告诉你。
http:/ ...

小小的测试不能说明什么。但是我觉得还是有点意义的。
就算95也不会包含近期China Pattern的内容。食猫鼠的某个分支入China Pattern几周，结果至今95也不见得杀。
而且我也说了，71里包含的国际病毒码，可能只是一个大宗收集。而这个大宗收集，China Pattern可能是领先的。
我猜测的目的，并不是想证明China Pattern是最全的病毒码。我想探索的，是China Pattern版本上领先的意义，和它与国际病毒码之间差异的原因和实际内容。
感谢支持！

cocabean

这个太高深了，我们这般小白就观望观望吧

独孤无语

尘梦幽然 发表于 2014-9-1 23:25
小小的测试不能说明什么。但是我觉得还是有点意义的。
就算95也不会包含近期China Pattern的内 ...

趋势的其实并不是越多越好的理念，从趋势2011版开始，一直在做的事情是“减负”。
china pattern 虽然能杀更多，或者就是最好的病毒码，但是对于使用者而言未必就会让你更安全（其实本来已经很安全）

因为众所周知的各种原因（不重视生产的信息安全），及互联网金融（商业活动）（比美国还发达！淘宝比ebay成功多了），中国的互联网环境比起全球（除大陆）来更为复杂。对趋势来说是个磨练的好地方。

PS：这就是数字杀毒1代（以前的坑），在2，3年内赶上的现实基础。

qq340496302

好测试，对比很清晰，支持怪不得中国版本的毒库比其他的都提前

寒山竹语

中国就是上海南京那自己做的特征，日本是菲律宾做的，美国等多语言就是美国做的吧。

尘梦幽然

寒山竹语 发表于 2014-9-2 06:54
中国就是上海南京那自己做的特征，日本是菲律宾做的，美国等多语言就是美国做的吧。

我想你可能说的是对的。因为你比我了解趋势。
不过，如果是这样，就很难理解为什么China Pattern对于国际病毒码有这种改动，甚至连高危病毒都削去了。这已经不是单纯灰色软件的问题了0.0单纯灰色软件的话，我还能相信，中国区是刻意削去的。但是我想，削去高危病毒特征，中国区本意可能并不是这样...

lmw8023zz

管中窥豹 可见一斑