关于小a的加强模式，用小a也请不要胡说去误导他人，请给我正名！

qftest

饭@avast 发表于 2016-8-2 23:58
5个链接都说明了一回事儿, 在不开HM的情况下会触发DS分析的文件, 如果开了HM, 都会被HM(不管什么等级) ...

这样的回复就比较正常了
在一个非专业性质论坛如卡饭，会员不是开发者，质疑、猜测、讨论、结合自己的使用经验作出判断，我认为无论结论对错都是合情合理的，在开发者详述技术细节之前——这明显不可能——所有的所谓结论事实上都是猜测而已，是否接受由各人自愿而不能强迫
所以“追究真相”就是个伪命题
所以深究这种“xx安全软件的xx技术的真相“并没有意义
你能知道什么真相？除了你自己亲身经历的，你能知道什么真相？
然而回顾本帖，看看楼主的所作所为，大有“你不同意我，你就是反动的、假的、必须打倒的”之气势，手握官方的只言片语以为神器横扫八方，迫不及待的以“伽利略”自居，却不知此作为何等滑稽可笑——卡饭出了个伽利略，我也是醉了
讲道理，小a我几年前用过，当时对小a宣传的HM新技术颇感兴趣于是查询一番，留给几年后的我的印象就是前帖所提，不知近年HM是否改进而有所变化
自沙盘进化为DS后，所有符合suspicious行为特征定义的可执行文件（exe/com/scr...）都会自动激活DS行为分析器，如果分析结果不足以达到bad级别就会放行执行；而HM中等则会拦截所有具备suspicious行为特征的可执行文件（也就是链接所说的“所有会触发DS“的文件），在这里，suspicious特征就是行为特征（触发DS行为分析的suspicious特征），强调一下，是行为特征，而不是一般意义上的“跟踪式的达到某阀值后阻止”的行为分析过程。这就是驭龙所说的HM与DS之间的微妙关系，这就是"preliminary analysis"，这就是此分析非彼分析，这就是我说的HM“中等会检查目标是否存在恶意行为特征”的本意，这就是我为何将之理解为“最高敏感度的基础行为分析”（自动拦截所有具有suspicious行为特征的可执行文件的执行，或许文字描述不够精确，但我就是这么理解并记忆的）
那几个链接虽是随意google而来，却是由不同的人在不同的时间作的相同的阐述，说明这已成为一个“共识”，如果真的想找还能找到更多
但深究这种“xx安全软件的xx技术的真相“有什么意义吗？你能知道什么真相？除了你自己亲身经历的，你能知道什么真相？如上所述，官人不可能将技术细节提供给大众
作为卡饭的普通用户而言，关心的不应该是这个技术是否能提供“更精准的拦截、更低的误报、更安全的环境”吗？作为“大气谦和”的卡饭，不能容忍各种不同的意见吗？
我不明白伽利略是怎么想的

tomochan

qftest 发表于 2016-8-2 21:46
还在闹腾呢？
勉为其难再回你一帖好了
貌似你是第二个说我“厚颜无耻“的人，第一个是那个谁， ...

我看了下那几个帖子和官方文件，官方说的some overlapping functions应该指的是同时根据信誉好坏去判断的功能，而不是同时根据行为去判断，因为官文通篇两者的关联和区别写的很清楚就是HM是不同信誉等级拦截，而DS是信誉等级+沙盒行为分析的放行和拦截，同时DS分析结果作为信誉等级上传云端共享。所以两者重叠的部分应该很容易就看得出来。
后面你给的几个国外帖子比较杂乱，我觉得跟楼上所说的一致，所有帖子里提到的关于suspicious characteristics、initial anlysis（可疑特征、初步文件分析）等词语都没有指向这是行为分析（Behavior Analysis），像诺顿下载分析，也是根据信誉等级云数据等等一系列信息进行分析判断，这个下载分析并不涉及行为判断，我觉得国外网友所说的分析类似于此，所以确实无法作为HM有行为分析的证据，但对比官方文件里就在DS部分明确写出test its behavior，如果HM有行为判断的话，没有出现behavior等词汇是很不合理的。
还是以官方的技术说明为准，我觉得官方说明讲的很详细了，为什么还会在吵呢，虽然可以发avast客服邮件，不过我觉得用处不大，客服很少有负责技术的工程师坐镇吧

qftest

tomochan 发表于 2016-8-3 13:32
我看了下那几个帖子和官方文件，官方说的some overlapping functions应该指的是同时根据信誉好坏去判断的 ...

“HM是不同信誉等级拦截”这个描述并不准确，因为没有考虑到new的情况，在信誉库中没有executable file的new的信誉时，DS在这种情况下是自动触发行为分析并将结果入库，HM怎么办？参见上帖，这里不再重复
此分析非彼分析，我不知道是否有人注意其中的区别，这关系到HM如何触发
此外，对于云端白名单，HM中等是“部分依赖“，激进是”更多的依赖“，希望这不是文字游戏
最后我想说，我并不关心“真相”如何，若不是伽利略一再歪曲我的原话，我甚至不会推迟看暴走大事件而来回复这种没什么意义的帖子

tomochan

qftest 发表于 2016-8-3 13:49
“HM是不同信誉等级拦截”这个描述并不准确，因为没有考虑到new的情况，在信誉库中没有executable file的 ...

On the other hand, the Moderate Hardened Mode blocks only files which have bad ratings (and those which have no ratings at all, due to being new)
unlike the Hardened Mode, this tool is also capable of running a file which has no rating (or insufficient number of ratings – usually below 20-50, depending on the file) in the sandbox to test its behavior (compare it with malicious patterns) and then decide whether to allow or block it.
你所说的new的情况应该是官方原文的这一段吧，bad ratings和no ratings at all,due to being new
算了，你如果坚持认定suspicious characteristics（可疑特征）就是行为特征我也只好无言以对了，只不过这个措辞只是个国外网友论坛上写的，并非出自avast官方网站或技术人员，不需要把它过分解读。
你们自己发avast技术人员邮件解决吧....我跟此事无关，表再回复我了....吓死了

水墨静音

qftest 发表于 2016-8-3 13:18
这样的回复就比较正常了
在一个非专业性质论坛如卡饭，会员不是开发者，质疑、猜测、讨论、结合自己的使 ...

哎哟喂，还真是本性难改啊，脑补的真有趣，果然死要面子活受罪的劣根性在你身上体现的淋漓尽致啊！！！！
从一开始自己在那脑补加强模式是检测到异常行为才拦截的，到现在自己脑补，什么suspicious特征就是行为特征，你说什么就是什么咯，原来为了维护自己打肿的面子，什么与事实不符的话都说的出来啊，真是让人大开眼界。敢问你写了大半篇文章，扯DS的行为分析干什么？怂了？傻子都知道DS有行为分析，想混淆视听把你之前坚持的加强模式是行为分析拦截硬坳过来？把DS的活儿硬加载加强模式上？拜托看看avast官方文件吧OK？
还我无视some overlapping functions，我把重叠翻译成共同，把功能翻译成特征，你就看不懂了，就这水平还好意思指责别人英语？那么你敢翻译官方文件么？你怎么不翻译？是不是不敢翻译，怕被完全打脸？奉劝你还是少在这丢人了，你说的越多越能让其他人看见你脸皮是多么厚，卡饭是非专业论坛，所以就能允许你这种死要面子的人在这胡说八道误导他人？我干脆说BD的ATC是根据信誉拦截的，跟行为毫无关系好了，跟你一样胡说八道，反正是非专业论坛，真相不重要，别人的胡说八道我们要尊重，哈哈哈哈哈

水墨静音

tomochan 发表于 2016-8-3 14:04
On the other hand, the Moderate Hardened Mode blocks only files which have bad ratings (and those  ...

见识到此人硬坳的本事了吧哈哈哈哈哈哈，overlapping几个单词换换说法他就不认识了，估计英文单词要一个个查词典吧哈哈哈，估计他集结几个网友乱说一通就敢说我国的航天技术都是乱搞一通根本不对呢，官方人员都是小白，他和他找的网友才是技术大神把bullshit的官方人员骂倒在地哈哈哈哈哈哈，多谢建议，我已经给官方人员发了信息！到时候继续等他说官方技术人员说的都是bullshit，他说的才是真理，毕竟人家对官方加强模式的技术解释完全不屑一顾，全盘否定哈哈哈哈哈哈哈

水墨静音

饭@avast 发表于 2016-8-2 23:58
5个链接都说明了一回事儿, 在不开HM的情况下会触发DS分析的文件, 如果开了HM, 都会被HM(不管什么等级) ...

所以你看到了吧哈哈哈哈，我早就看了几个帖子，根本跟加强模式行为分析无关，结果人家说什么呢，说哎呀你看不懂英语，哈哈哈哈哈哈哈哈，知道他是怎么一直硬坳，怎么一直在那胡说八道的了吧？我把some overlapping functions翻译成一些共同特征，他就说我不敢翻译some overlapping functions，哈哈哈哈，原来英语单词稍微变通翻一下他自己就不认识了，笑死我了。他自己在那胡乱分析一通，结果越分析越把自己弄到DS行为分析去了，哈哈哈哈哈，自打自己的脸浑然不知啊，这么快就不敢碰自己硬坚持的加强模式是行为分析的谬论了哈哈哈哈！！！！！！自己一口咬定overlapping functions就是行为分析，完全不看官方文件全文，你说还有比他脑补更厉害的么？？？？？？？改天说中国跟印度有类似国情，他说不定能一口咬定中国和印度相似的国情都是白种人呢，哈哈哈哈哈哈哈

水墨静音

workhardsam 发表于 2016-8-3 00:12
可以有更好的方法,如果雙方都是小A的正版,直接寄電郵or打電話給小A的support,找他們的技術員直接回答HM有没 ...

https://support.business.avast.com/hc/en-us/articles/206435345-About-DeepScreen-Hardened-Mode
这就是avast的官方技术人员写的，发布在avast的support官网，100%官方最权威的加强模式技术解释。已经很明确说了加强模式是根据信誉拦截的。

结果呢？官方人员写的，qftest，BFAX这几个“大神”人家根本不鸟，坚持自己认为的加强模式就是行为拦截，自认为比人家avast的技术人员更权威，更懂avast，然后某些人还发了一张断网拦截的图，想证明avast技术人员说的是错的。

这已经不是对与错的问题，而是态度问题，某些人为了维护自己被打肿的脸，死也要硬撑下去，官方说的跟他们只要不一样，那都是bullshit，他们自己坚持的才是真理，avast官方技术人员都是不懂的白痴，这就是他们的态度。

水墨静音

kxmp 发表于 2016-8-2 23:35
The DeepScreen, when active, works similarly in the background and checks all the executable files b ...

no，no，no，DS本身就是有行为分析的，这个不是讨论的重点，是某些人在这胡说加强模式自带了行为分析和行为拦截，被官方文件打脸后，继续在胡说八道而已可见，真理有时候是打不败脸皮厚的谬论的

kxmp

水墨静音 发表于 2016-8-4 13:20
no，no，no，DS本身就是有行为分析的，这个不是讨论的重点，是某些人在这胡说加强模式自带了行为分 ...

这么说他们在乱扯关系