再谈BD Free

显示全部楼层 · 发表于 2017-1-31 18:52:54

本帖最后由霄栋于 2017-1-31 18:57 编辑

Bitdefender 2017 公测的时候，有一个名为EDRsensor的云驱动引起了我的注意，这一点我在BD Free Beta的体验报告中也说过。然而BD 2017正式版发布后，该驱动却不翼而飞。虽然不时有消息称BD会在某次更新中加入，但直到今天，我仍未在BD 2017的文件夹中发现它的踪迹。直到今天，我再次安装了BD Free，居然神奇的又发现了这个模块：

另一件有趣的事是，我在测试BD Free Beta时，BD尚未发布2017版。当时我比较过免费版和家庭版的ATC，发现其驱动版本、DLL版本乃至ATC库文件版本均一致，因此说BD Free Beta使用了2016版的ATC。这一说法当时并没有问题。然而，随着BD Free 正式版的推出，其ATC组件也得到了更新。
经过比较，BD Free 与 BD 2017家庭版AVC文件夹内容几乎完全一致（AVC/AVCex）：

仅驱动方面有所区别（包括avc3.sys，avckf.sys及相关文件）
有趣的是，尽管文件不同，其版本号却是一致的。因此，我推测这是由32位和64位安装包的区别导致的，我的虚拟机为32位win7，安装BD Free；实机64位 Win10，安装BDTS2017。
以下是BDTS2017 ATC文件的hash，安装BD Free 64位的朋友可以看看你们的BD Free文件夹（默认为C:\Program Files\Bitdefender Antivirus Free\Drivers）中这几个文件的hash：

File: C:\Program Files\Bitdefender\Bitdefender 2017\avc3.cat
Size: 8150 bytes
Modified: 2016年9月20日, 4:16:38
MD5: 440B6D33C610D93476BE66CD0A5988EC
SHA1: 746C80C1AFBB81E26C54547B18302361BACFD5F9
CRC32: 7207B553

File: C:\Program Files\Bitdefender\Bitdefender 2017\avc3.inf
Size: 3667 bytes
Modified: 2016年9月20日, 4:10:40
MD5: 4DB2DAF1081D0DAAA31646C0C6647D29
SHA1: EAF1A79F7A58F4DD2FFF373B1A453824F27F3223
CRC32: EFD19916

File: C:\Program Files\Bitdefender\Bitdefender 2017\avc3.sys
Size: 1605376 bytes
File Version: 3.12.15976.6498, RELEASE, built by: WinDDK
Modified: 2016年9月20日, 4:17:02
MD5: DA978AB6E0AAEA82235C943DEED3484C
SHA1: EDC393CE37CFF1AC2717F6AC73AAFD0414BD247A
CRC32: 3A6A5F68

File: C:\Program Files\Bitdefender\Bitdefender 2017\avckf.cat
Size: 8154 bytes
Modified: 2016年9月20日, 4:16:36
MD5: 4B32A657922B651C4748DA48F24709E5
SHA1: 98FD7939EB58314A25C0DA397532FA8B6A1CA7A9
CRC32: C5C156D2

File: C:\Program Files\Bitdefender\Bitdefender 2017\avckf.inf
Size: 3677 bytes
Modified: 2016年9月20日, 4:10:40
MD5: CDFC2209618AA6A8C54B233C4E989E93
SHA1: 383BDACEAF00F7853A22F44E62EB2459A139CDEC
CRC32: 543B4F64

File: C:\Program Files\Bitdefender\Bitdefender 2017\avckf.sys
Size: 878072 bytes
File Version: 3.12.15976.6498, RELEASE, built by: WinDDK
Modified: 2016年9月20日, 4:16:58
MD5: 09A3015AEA14CF9A4ECDE1CEA6AFE0AA
SHA1: 92E9DAA84ACEC803D45E2AA64D2973FA9E43B454
CRC32: 10A9FE71

如果hash一致的话，说明BD Free的ATC模块很可能与BDTS2017一致。

综上所述，BD Free确实是业界良心的产品，折腾党可以手动调ATC参数，不折腾党也可以享受BD的“一键安全”，推荐各位使用

@230f4 @linzh @君陌潇 @85683213

显示全部楼层 · 发表于 2017-1-31 20:57:38

edr又出来啦

会不会是用来debug的啊，真想不透

显示全部楼层 · 发表于 2017-1-31 20:58:42

85683213 发表于 2017-1-31 20:57
edr又出来啦

会不会是用来debug的啊，真想不透

不知道BD这个是怎么回事，免费版有EDR，家庭版却没有

显示全部楼层 · 发表于 2017-1-31 21:00:07

1.界面ui无响应问题
2.安全中心问题，经常提示关闭，尽管开着防护
3.加个手动排除的功能会死啊
解决以上三点我会用的不亦乐乎

显示全部楼层 · 发表于 2017-1-31 21:01:40

atc用的特征文件如此小+bd没有回滚+atc检测率可以调整
是不是可以认为atc是一个纯打分制判断机制。。。。那样的atc除了驱动和dll更新还能更新啥呢。。。。同一个行为增加的恶意值难道还可以一会儿高一会儿低不成。。。。

显示全部楼层 · 发表于 2017-1-31 21:28:34

业界良心

显示全部楼层 · 发表于 2017-1-31 23:15:23

有一点卡呀

显示全部楼层 · 发表于 2017-2-1 00:44:21

本帖最后由 linzh 于 2017-2-1 00:47 编辑

额，其实我也想问关于ATC的问题

如果ATC是完全基于打分的话，那勒索的分数应该是很低的，但是为何ATC防勒索的效果那么好

总之就是挺玄学。。应该是主要打分加上一些关键的规则？规则会随着病毒库的升级/组件的升级而改变？
然而目前样本区的BD的ATC还没有出现过新版ATC杀而旧版不杀的情况

显示全部楼层 · 发表于 2017-2-1 10:09:39

linzh 发表于 2017-2-1 00:44
额，其实我也想问关于ATC的问题
如果ATC是完全基于打分的话，那勒索的分数应该是很低的，但是为何AT ...

以前就有远控旧版本就很多不杀的！

现在没用老版了，也好久没玩毒不知道还是不是这样

显示全部楼层 · 发表于 2017-2-2 19:16:37

pal家族发表于 2017-1-31 21:01
atc用的特征文件如此小+bd没有回滚+atc检测率可以调整
是不是可以认为atc是一个纯打分制判断机制。。。。 ...

同一个行为的恶意值可能会出现评分不适的情况，调整很正常。而且我不认为是纯打分的机制，比如勒索的分值肯定较低，肯定有其他辅助判断方式来拉高分数。

[讨论] 再谈BD Free

本帖子中包含更多资源

评分