楼主: B100D1E55
收起左侧

[讨论] 各家杀软的云+样本处理系统

  [复制链接]
B100D1E55
 楼主| 发表于 2017-10-23 11:53:32 | 显示全部楼层
chengleok 发表于 2017-10-22 23:55
所以Avast鉴定是扫描和双击可疑文件上传云端沙箱吗,那要是它不认为可疑的岂不是gg,虽然有idp的加持,但是 ...

每家都有一定的可疑文件触发上报机制,例如红伞就是非常激进的“不认得即上报”,当然这里面还有一些隐私考量。

我个人觉得杀软对你说的这个问题没有特别好的解决方法。很多客户端的确是部署了长期的侦测机制,例如长期跟踪一些未知信誉进程的行为,一旦触发可疑行为即上报(卡巴的策略)。这个阈值太低会给云带来很大负担,这也是为什么AVAST把一部分过滤任务分摊给用户的机器处理。但是如果恶意程序很狡猾躲过了这些触发条件,那么就没戏了,除非杀软自己的社工/mi-guan能捉到。这也是为什么经常看到有些恶意程序已经肆虐了数周才被捉到,例如之前的CCleaner事件
zqwy520
发表于 2017-10-23 18:10:58 | 显示全部楼层
360的QVM还跟大厂有差距,它主要靠云来减少误报,如果断网,那误报就太多了,不信的话,饭友可以到7-zip官网下载16.04,用360杀毒断网杀杀,保证报QVM,但是360设置一定选择手动处理,不要隔离,然后联网再杀,就不报了。
zqwy520
发表于 2017-10-23 18:12:43 | 显示全部楼层
360吹牛有一套,被人有了,你也有,然后就大大宣传,关键是有了好不好啊,好了再宣传也不迟啊!
B100D1E55
 楼主| 发表于 2017-10-23 21:47:34 | 显示全部楼层
zqwy520 发表于 2017-10-23 18:10
360的QVM还跟大厂有差距,它主要靠云来减少误报,如果断网,那误报就太多了,不信的话,饭友可以到7-zip官 ...

360的QVM的确误报不少,不过别人家的某些引擎误报也很恐怖
petr0vic
发表于 2017-10-24 04:03:02 | 显示全部楼层
B100D1E55
 楼主| 发表于 2017-10-24 08:40:10 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-10-24 08:42 编辑

flystudio


检测进程,自crash,还发beacon,呵呵

我记得这样本系列有联网,运行时记得断网或者做其他处理,否则你家地址会被看光光。样本区这种钓鱼行为很恶劣了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨倾
发表于 2017-10-24 08:46:07 | 显示全部楼层
介绍一下dr.web,谢了
20281230
发表于 2017-10-27 14:40:34 | 显示全部楼层
非常感谢楼主的分享
sunnyjianna
发表于 2017-10-27 15:49:37 | 显示全部楼层
ESET快到期了,不知道投奔哪一家的我手足无措。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:55 , Processed in 0.089240 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表