查看: 6196|回复: 5
收起左侧

[技术探讨] 说一下对于WD的云的报毒名的个人理解与体会

[复制链接]
540923555
发表于 2016-11-18 10:12:05 | 显示全部楼层 |阅读模式
本帖最后由 540923555 于 2016-11-18 10:22 编辑

通过在虚拟机双击了一批样本以后,对于Rundas!Plock和cl结尾名称的云报毒的区别,个人逐渐有了一点感性认识

cl结尾:
程序本身并未入库,过右键扫描和文件监控,双击运行过程中会释放或生成已入库的病毒文件。WD将其信息发送到云端进行记录。
别的用户在扫描及监控时,便可共享该信息,得到已知病毒名称后面加一个cl结尾标注。


Rundas!Plock:
程序本身并未入库,过右键扫描和文件监控,双击运行过程中未释放出已知病毒文件,但程序的恶意行为较为明显,WD通过行为判定其属于恶意软件,并将其信息上传到云端进行记录。
别的用户在扫描及监控时,便可共享该信息,得到Rundas!Plock结尾的报毒名。个人猜测Rundas应该是RUN(运行)+DAS(数据采集系统)两个单词的组合

最近又发现了一种新的报毒名,detplock,暂时还没理解他的含义

评分

参与人数 2经验 +10 人气 +1 收起 理由
蓝核 + 10 感谢讨论
ELOHIM + 1 版区有你更精彩: )

查看全部评分

驭龙
发表于 2016-11-18 10:24:51 | 显示全部楼层
本帖最后由 驭龙 于 2016-11-18 11:36 编辑

很遗憾,CL和plock的关系,仅仅是推陈出新而已,CL是plock的改进型云,所以自从CL出现以后,plock特征就停止添加新类型了,旧的只是没有放弃而已。

detplock是最早的Dynamic Signature Service报毒名,并不是新的

plock与双击没关系,看来你对MA家族还是没有深度了解

建议你看看http://bbs.kafan.cn/thread-1633371-1-1.html

评分

参与人数 1经验 +10 收起 理由
蓝核 + 10 感谢讨论

查看全部评分

540923555
 楼主| 发表于 2016-11-18 10:47:39 | 显示全部楼层
本帖最后由 540923555 于 2016-11-18 10:50 编辑
驭龙 发表于 2016-11-18 10:24
很遗憾,CL和plock的关系,仅仅是推陈出新而已,CL是plock的下一代云,所以自从CL出现以后,plock特征就停 ...


我说的双击,是这通过用户上报电脑里的程序运行数据到云端,搜集未知病毒的数据
驭龙
发表于 2016-11-18 10:59:31 | 显示全部楼层
540923555 发表于 2016-11-18 10:47
我说的双击,是这通过用户上报电脑里的程序运行数据到云端,搜集未知病毒的数据

不是,不双击也会在遇到未知文件的时候上传,并不需双击,双击是行为遥测技术的云跟踪,之前行为遥测反馈是plock杀,现在plock和CL杀都有

关于行为遥测,建议看这个http://bbs.kafan.cn/thread-1858205-1-1.html

另外未知文件是不需要双击,就会被反馈给云的
540923555
 楼主| 发表于 2016-11-18 11:12:58 | 显示全部楼层
驭龙 发表于 2016-11-18 10:59
不是,不双击也会在遇到未知文件的时候上传,并不需双击,双击是行为遥测技术的云跟踪,之前行为遥测反馈 ...

同意,我主要体会就是行为遥测是plock多,
驭龙
发表于 2016-11-18 11:18:35 | 显示全部楼层
本帖最后由 驭龙 于 2016-11-18 11:36 编辑
540923555 发表于 2016-11-18 11:12
同意,我主要体会就是行为遥测是plock多,

因为plock杀已经开发完成两年左右,所以出现概率高,而CL才几个月,需要进一步收集行为和数据,大概几个月以后机器学习模块才能完善,那时候才能看到更多的CL

其实在plock之前还有一种!rts的云杀,那个效果就不理想,那时候的云服务器还没有机器学习,自动化分析刚开始,之后的plock才效果越来越好了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 01:37 , Processed in 0.126947 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表