关于云杀UDS报毒，两种不同报法似乎不一样

pal家族

看图

当时我特意查看kan信誉，结果是，未知，进入http://whitelisting.kaspersky.com/查看，仍然是未知，数据库没有这个文件的信息
但是报毒名确实UDS打头的，与平时见到的UDS报法不一样的是，这个是：
23.05.2015 16.40.46;检测到的对象（文件）已删除。;D:\搜狗高速下载\wersioncheck\wersioncheck.exe;D:\搜狗高速下载\wersioncheck\wersioncheck.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;05/23/2015 16:40:46

我们常见的是
UDS:Dangerousobject.Multi.Generic

检查报毒过程，监控不报毒，扫描即时结果不报毒，
[mw_shl_code=css,true]23.05.2015 16.40.43;自定义扫描;未检测到威胁;0;0;0;昨天, 2015/5/22, 12:45;0 秒;05/23/2015 16:40:43
[/mw_shl_code]

注意时间，几乎一样的，但是，报告—检测到的对象，里的这个文件的记录应该晚于扫描结束时间，仔细看报告，确实晚了3s，很奇怪的是，文件监控没有记录。（检测到的对象里却有）

基于以上事实，我是不是可以大胆猜想：卡巴的ksn拥有类似于红伞APC的功能，即时提交文件特征，并反馈用户？

或许我想多了，或许只是我之前没发现，请帮我解惑@驭龙 @tiemin922

pal家族

@bbszy 啊，还有您

驭龙

我觉得可能是特征库转移云端以后的云库报法，现在似乎不完整，可能是在调整中

bzaf868

DangerousObject就是只检查文件哈希值。DangerousPattern可能是UDS里的识别模式，类似于云特征。查询Whitelisting网站只会上传哈希值，所以不会报DangerousPattern。

pal家族

驭龙 发表于 2015-5-23 17:17
我觉得可能是特征库转移云端以后的云库报法，现在似乎不完整，可能是在调整中

太少见了，之前精睿包100个文件 偶尔有一两个这玩意，但是根本没在意，以为是云延迟
主要是文件监控和扫描全不报毒。。。扫描之后过一会儿才报、、、很不理解。
如果云库报毒的话，应该结果在扫描里有。。。。。。云特征的话，趋势有报毒名，卡巴要搞得话，我想不会不把特征分类
又被老毛子迷倒了

pal家族

bzaf868 发表于 2015-5-23 17:18
DangerousObject就是只检查文件哈希值。DangerousPattern可能是UDS里的识别模式，类似于云特征。查询Whitel ...

故我有此一猜想，你和龙大想法一样，这玩意不好确认

找寻

看来还是技术不行，有可能存在误报

pal家族

找寻 发表于 2015-5-23 21:53
看来还是技术不行，有可能存在误报

误报？何出此言？

天蓝色的忧伤

pal家族 发表于 2015-5-23 21:56
误报？何出此言？

今天在二手淘宝65买了未拆封三年安全软件2014盒装版本，到了可以多图么

pal家族

天蓝色的忧伤 发表于 2015-5-23 22:02
今天在二手淘宝65买了未拆封三年安全软件2014盒装版本，到了可以多图么

叼叼叼
你不是在用蛋挞？
多图肯定加人妻