【小白普及向】三种常见的杀软上报样本方法之浅谈

猪头无双

嗯，最近在比较avast free和FSIS的时候想到这一点的。（顺便说一下，其实FTP这个玩意对国外来说很常见，国内可能不太普及吧！）

常见的样本上报方式有以下三种：

1. 网页上报

2. 邮件上报

3. FTP上报

本着一本正经的胡说八道的原则，我们来举个例子说明一下三种样本上报方法的优劣，给大家做个选择。说了是小白普及向，所以大神们无视吧。有想挑刺找茬的，投诉区见。也欢迎大家提意见，反正我也不一定改


转帖请注明：“卡饭论坛  猪头无双”
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

1. 网页上报（360、FS为例）

网页上报：顾名思义就是官方提供上报网页，大家根据相关的要求上报样本。

好处是：随时随地可以上报，而且简洁方便。只需要有样本，有网，按照要求一步一步来即可。

缺点是：大多数时候需要对样本进行一定的压缩、封包，有的需要加密。如果网络不畅或者格式不对，可能会上传失败。最主要的是：上传样本的数量有限制

+++++++++++++++++++++++++++++++++++++++++++++++

下面举360、FS两个网址为例，进行说明。

1. 360样本上报：

网址：http://fuwu.360.cn/jubao/wenjian (样本的)  http://fuwu.360.cn/jubao/wangzhi（网站的）





注意凡是带*的，都是必填的。不带*的，选填。可以不填写，也可以填写，看心情。

1.选择上报类型是可疑文件，还是误报。（当然提请误报要慎重）

2. 选择文件上传



注意看好，如果是“所有文件”，那么无论是压缩包、dll、exe、js脚本、甚至是图片和视频都可以上传。但是不可以上传文件夹

3. 对文件的描述，如果你想描述，请详细描述这个文件是什么系统，什么版本，哪个盘，哪个程序带的，杀软报的是什么毒，或者你觉得哪里有问题。总之越详细越好

4. 留邮件。 这算必须的，因为邮件可以反馈详细结果。而且显得正式。对于360而言，国内什么邮箱都无所谓。但是别上10分钟邮箱即可。

5. 验证码输入。这就是考眼力了。自己解决。

+++++++++++++++++++++++++++++++++++

对于网址的：



同样道理，记得网址要以  http://www. xxxx.com 的样式输入进去，最简便的办法就是粘贴地址

然后详细写明举报原因、留下联系方式、之后输入验证码，点击举报，完成。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

FS的：因为FS的上报网址是需要英文的，而大多数国外杀软都提供英文上报界面，所以简单举例。其实一通百通。

上报网址：https://www.f-secure.com/en/web/labs_global/submit-a-sample

这个网址的好处在于上报样本和网站是同一个网址，只需要切换一下就可以过渡到样本上报/网址上报了。



嗯，具体说明一下步骤：

1. 选择样本：

Use archive or zip to send multiple files. For files over 30MB, you can submit it via FTP.

这里的注释要注意，FS明确，样本上报需要先打包，格式无外乎rar/zip两类。至于7z格式，请尽量避免，以免造成上传失败，这就不好了。大小不大于30M

2. （可选）添加描述，这里就不展开了。首先，FS是需要用户英语上报的，如果描述，还得打英文。再有，它会问你是什么系统、装的是什么软件等等有的没的。虽然细致，但我觉得可能没人会愿意细致到这样的地步吧？

3. 输入验证码。就是个4位数字，看准即可。

4.点击上报

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++


2. 邮件上报：（avast为例）

好处是可以打包上传几个样本，大小要比网页宽松一点··· ···

缺点也很明显，因为现在的网页邮箱都有在线杀毒，如果你的压缩包附件或者样本附件被在线杀毒引擎发现··· ···那就悲剧了。

针对这种现象，我个人给出大家两个方法进行参考：

1. 用邮件管理程序上报。 现在像网易的邮箱大师、金山的Foxmail、火狐的thunderbird一类邮件管理客户端有的是，甚至你要是微软office正版用户，Hotmail也可使用。盗版的就不知道会不会有其它影响了。

2. 记得压缩包换个密码加密。解释一下。现在QQ的网页邮箱提供的在线杀毒是卡巴/趋势（记不清了，但不影响），而这两家默认对压缩包为“infected”密码的压缩包解压扫描。别问我为什么。多次上报积累的血的教训，不知道现在是不是不这样了。那么规避这类行为的一个办法就是避开如“infected”、"virus"一类常见的密码，换一个独特一点的密码，那么网页邮箱的杀毒服务商自然就不会扫描了。

比如我的上报压缩包密码一般是“Aoi Sola” 我心爱的苍老师啊



这里我用的是Foxmail。上报地址如图所示。因为avast懂中文的那几个货据说辞职了。为了避免麻烦，就用英语吧。

注意：avast对样本的大小限制是不超过30M。所以压缩之后一定记得检查一下大小。

猪头无双

占楼

嗯，刚刚编辑崩溃了。不造什么原因，说一下第三种上报方式：

3. FTP上传

优点：上报样本数量不限制，只要你打包成功，不管多大，都可以往上传。只要之后注明你的包里有多少样本、压缩密码（如果有的话）和联系方式，之后等回音就可以。如果有大量样本（比如传说中的10G ），FTP上传是不二选择。


缺点：缺点明显之处在于

1. 有的FTP源不是公开的，你得先注册一个账号，才行。比如avast，没有账户密码，不能上传FTP。

2. 需要详细设置：比如登陆名是什么，端口是多少，密码是多少，是否隐身··· ···最好你有耐心一次性设置成默认模式，不然今后得烦死。

3. 你得有个FTP工具，不然你还是老老实实用前两种上报方式吧。

下面以FS，avast两家的FTP上传做个例子，具体讲解一下。FTP工具是FlashFXP，出处是ZD家的。

首先是avast家：上报地址：ftp.avast.com  需要用户名和密码。



之后直接上传样本即可




FS家的类似,只是不需要用户名密码而已。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++


总结：相比较这三种上报方式，还是推荐头两种。当然，方便与否，自己斟酌。

同时也别忘了像卡巴可以用 “我的卡巴斯基账户/ My Kaspersky Account”在线上报样本，avast的隔离区上报样本等等手段。这些也是我们日常可能会用得到的。

可能有人还有顾虑，比如说，你是BD用户，但是找不到BD的上报途径怎么办呢？变通一下，给FS、GD、BG等OEM BD引擎的厂家上报，也是一样的。

这次就是这样，下次见了。

每顿需吃三大碗

你的头像比你写的内容更具有观赏性，一看你就知道是个有内涵的人

BD上报途径不难找，网页上报和邮箱上报都可以。不过网页相对来说加载比较慢，所以推荐邮箱上报。直接发邮件给OEMsamples@bitdefender.com即可，如果是上报样本，标题写False Negative，如果是上报误报，标题写False Positive。把文件加密压缩一下以防邮箱运营商检测后拦截，密码infected(不需在邮件中写明)。正文空白就ok。发送完成，过一会会收到bd的自动回复，告诉你已经收到。等到技术人员分析完成，会给你再发一封邮件告知处理结果。根据处理人员的不同，处理结果的回复有一些差别，有时候会告知病毒名，有时仅仅是一句检测将被添加。一般来说，bd的回复速度还是比较快的。单纯样本分析的话，目前多数情况下24小时内能够处理完成。

西瓜君

趋势科技好像很难找到上报入口

bbszy

西瓜君 发表于 2016-12-4 18:40
趋势科技好像很难找到上报&#20 ...

趋势对于个人用户不提供上报

上报对于趋势来说 认为你中毒了 有求于他 所以只给购买了服务的企业提供！

西瓜君

bbszy 发表于 2016-12-4 20:37
趋势对于个人用户不提供上报

上报对于趋势来说 认为你中毒了 有求于他 所以只给购买了服务的企业提供 ...

这样不太好吧

其实是老人

我是资深小白，从来没想过要上报。
分不清是不是误报，也分不清是不是漏报。

fireherman

装X常识 ，常用协议和端口（防火墙）

网页 / 邮箱（网页版）上报：http:// https://，协议[TCP] 端口[80/443]

邮箱（软件）上报：协议[TCP] 端口[25/993]

FTP（软件，网页只能出站（下载，例如FireFox的FTP更新服务器），如果知道账号密码也可以入站（上传））：ftp:// 协议[TCP] 端口[21]

我就是XXX

foxmail是金山的啊？不是腾讯的么？