查看: 5823|回复: 14
收起左侧

[讨论] 趋势高敏感拦截判断机制真的只是非白即黑吗?

[复制链接]
尘梦幽然
发表于 2014-10-21 10:45:30 | 显示全部楼层 |阅读模式
http://bbs.kafan.cn/thread-1615718-1-2.html此贴有感。

趋势设置:


测试文件:
1.京东读书客户端
http://sale.jd.com/act/W5hugLDc1R.html
下载地址:http://jss.360buy.com/outLinkSer ... c6-fce7bda8b686.exe
有效数字签名:

双击后,趋势科技简中7.0拦截:


2.流氓软件首趣
样本区链接:http://bbs.kafan.cn/thread-1779060-1-1.html
趋势拦截样本源:

下载下来样本以后,双击,安装,全程毫无信誉拦截。
该样本已经发送给趋势科技,趋势科技回复称将在本周内加入中国区病毒码(XX.XXX.60)

3.私下测试的个人高启发扫描器
结果:第一次双击后会弹出提示阻止,选择打开文件。
因为扫描器只有扫描功能,没有别的任何行为。一段时间(大概就2、3天以后),就算在其他设置为高敏感的电脑上面双击,也不会再有信誉拦截提示了。

结论:
高敏感模式下,只要是趋势科技没有检测过的文件,都会被提示:可疑文件被封锁,只有被检测过的文件才能被打开,这种提示不代表是检测出病毒。

这个客服的说法是片面的,就算是趋势科技尚未检测过的恶意文件,也照样有一部分可以通过云信誉检测。所以趋势科技高安全性设置下是纯粹非白即黑机制这点并不正确。

欢迎进一步测试论证。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lmw8023zz
发表于 2014-10-21 11:08:36 | 显示全部楼层
本帖最后由 lmw8023zz 于 2014-10-21 11:12 编辑

看懂了 其实就是这个客服自己根本不懂就在大放厥词。实际趋势根本没这么简单。
饭@avast
发表于 2014-10-21 11:23:00 | 显示全部楼层
本帖最后由 饭@avast 于 2014-10-21 11:36 编辑

出现黄框的时候点删除,查看威胁名称,是httpdownloadchecker这个名字的,就是信誉拦截。但是只要文件有有效时间戳数签,我没见过趋势会拦截,好多流氓软件新变种都是。(补充一下,这里说的是8.0,7.0的拦截强度更高)首趣那个我猜是因为有了一定的使用人数,就不会信誉拦截了。
如果不是非白即黑,我这里自己写的程序为什么个个都被趋势拦截,就连课程用的exe课件都是。。不过只要我点了允许,过了几天(重装了系统),趋势就不再拦截这个exe文件了。这是因为用户选择允许,文件又没有进一步的恶意行为,所以趋势上报给SPN后,SPN把这个文件自动加白了。
尘梦幽然
 楼主| 发表于 2014-10-21 12:18:34 来自手机 | 显示全部楼层
饭@avast 发表于 2014-10-21 11:23
出现黄框的时候点删除,查看威胁名称,是httpdownloadchecker这个名字的,就是信誉拦截。但是只要文件有有 ...

可能如你所说,需要更多样本考证。
我觉得趋势高安全性拦截没那么简单。京东这个我半个多月前也点过打开文件,但是至今都没有在SPN解除检测。我觉得这个高安全性没那么简单。
饭@avast
发表于 2014-10-21 12:33:57 | 显示全部楼层
尘梦幽然 发表于 2014-10-21 12:18
可能如你所说,需要更多样本考证。
我觉得趋势高安全性拦截没那么简单。京东这个我半个多月前也点过打开 ...

SPN自动进行文件分类的时候应该还会考察文件的静态特征,行为特征等等,并不是仅仅取决于用户选择。有的多年前的老文件照样会被信誉封锁,这种文件明显是SPN中有信息的。或者可以说信誉拦截不仅仅是非白即黑,有些已知的信誉差文件也会被双击封锁。问题就在于是不是SPN中完全无记录的文件就一定会被拦截(不考虑数签)。
还有一点就是黄色弹窗有时候会出现在样本已经跑起来之后。有几个样本(忘记是哪里的了),双击会出现信誉封锁(这时候选择删除,查看威胁名称,是httpdownloadchecker),点允许运行,几秒后又出现了黄框,点删除,威胁名称就不是httpdownloadchecker了。以前有个帖子也是讨论这个问题的,有人说黄框弹窗后,系统设置依然被改了
尘梦幽然
 楼主| 发表于 2014-10-21 12:36:49 来自手机 | 显示全部楼层
饭@avast 发表于 2014-10-21 12:33
SPN自动进行文件分类的时候应该还会考察文件的静态特征,行为特征等等,并不是仅仅取决于用户选择。有的 ...

第二次黄色弹窗可能就是基于比较明确的行为和静态特征检测了。第二次黄色弹窗时,就会自动删除对应样本,此时会执行系统修复流程。
尘梦幽然
 楼主| 发表于 2014-10-21 12:39:01 来自手机 | 显示全部楼层
饭@avast 发表于 2014-10-21 12:33
SPN自动进行文件分类的时候应该还会考察文件的静态特征,行为特征等等,并不是仅仅取决于用户选择。有的 ...

另外,不管是什么弹窗,只要有涉及到删除文件这样的操作(包括你手动下令),除非一些网页病毒或者宏病毒,其他情况都至少会走一次基本系统修复流程。
bbszy
发表于 2014-10-21 13:02:25 | 显示全部楼层
趋势的高安全性给avc动态防护测试增加了很多分,因为只要一拦截到威胁,就自动转的高安全性了
ELOHIM
发表于 2014-10-21 22:49:00 | 显示全部楼层

你难道不认为,非白即黑的策略,是开发起来最不需要技术,使用起来最傻瓜式的操作吗?误报高高高高滴吗?

非白即黑。那个国内很火的软件不也是这样的吗?那需要投入很大精力搜集样本,如果某个某批文件搜集不到,就非常容易造成误判吧……

真正走技术的软件,俺以为是,从对陌生文件的行为分析入手的。而不是划三八线。
尘梦幽然
 楼主| 发表于 2014-10-21 23:07:21 | 显示全部楼层
本帖最后由 尘梦幽然 于 2014-10-21 23:52 编辑
ELOHIM 发表于 2014-10-21 22:49
你难道不认为,非白即黑的策略,是开发起来最不需要技术,使用起来最傻瓜式的操作吗?误报高高高高 ...


不一定啊,你要对数签全部信任的话,非白即黑误报也不会高的。
不管怎么样都是一种手段吧,用技术判断陌生文件黑白,当然是更困难的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 23:20 , Processed in 0.121701 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表