123
返回列表 发新帖
楼主: patrickpqy
收起左侧

[求助] 这个是BDF的回滚吗?

[复制链接]
saleniy35
发表于 2018-2-24 17:31:17 | 显示全部楼层
Dolby123 发表于 2018-2-24 12:10
是 Reboot 。。。不是roboot

woc我竟然自己手滑打错了啊啊啊啊啊太丢人

评分

参与人数 1人气 +1 收起 理由
Dolby123 + 1 Relax

查看全部评分

驭龙
发表于 2018-2-24 19:12:34 | 显示全部楼层
欧阳宣 发表于 2018-2-24 00:44
ATC没有回滚吧,我记得付费版的ATD才有

其实我很好奇,为什么都说ATC有回滚,却没有一个证实的帖子和测试?不知是谁先说的,让他来个证据不?

PS:反正我是没兴趣玩BD
Sailer.X 该用户已被删除
发表于 2018-2-25 17:03:51 来自手机 | 显示全部楼层
驭龙 发表于 2018-2-24 19:12
其实我很好奇,为什么都说ATC有回滚,却没有一个证实的帖子和测试?不知是谁先说的,让他来个证据不?

...

最先发现的可能是ccboxes。我后来虚拟机测试过一些样本,atd已经具备一部分回滚能力,例如一个js,双击会拦截一串进程,清除时会将js,下载的衍生物等一并清除。某个可疑安装包,双击拦截会一起删除安装包源文件和释放的文件。但这个回滚当时并不完善。有个勒索样本,atd拦截时甚至把被加密的文件当作衍生物一起干掉了,但回滚并不完整,有些衍生物还是被漏掉了。从日志来只能看到被拦截的进程,隔离区也只有被清除的文件而已。对于注册表之类的系统修改是否也被一并清除,我并没有详细测试。最近没有玩bd,不知道有没有什么改进。
驭龙
发表于 2018-2-25 17:24:30 | 显示全部楼层
霄栋 发表于 2018-2-25 17:03
最先发现的可能是ccboxes。我后来虚拟机测试过一些样本,atd已经具备一部分回滚能力,例如一个js,双击会 ...

听上去好像是修复流程?希望以后有机会我自己也去测一下来了,现在我没有虚拟机,就不玩双击了
欧阳宣
头像被屏蔽
发表于 2018-2-26 13:07:32 | 显示全部楼层
驭龙 发表于 2018-2-24 19:12
其实我很好奇,为什么都说ATC有回滚,却没有一个证实的帖子和测试?不知是谁先说的,让他来个证据不?

...

BD在2018版之前我应该可以确定是没有回滚的,后面atc改为atd了才有说到的那些变化,因为ATD本来就是ATC变化而来,所以可能会有人这么想。ccboxes蛮实事求是的,不觉得他会这么说
驭龙
发表于 2018-2-26 13:19:29 | 显示全部楼层
欧阳宣 发表于 2018-2-26 13:07
BD在2018版之前我应该可以确定是没有回滚的,后面atc改为atd了才有说到的那些变化,因为ATD本来就是ATC变 ...

我也没有看到相关的官方介绍和个人测试,样本区的话看图好像是类似于修复的操作,跟卡巴SW的回滚好像真的不一样,我也没有玩,所以不清楚有没有2018回滚
Sailer.X 该用户已被删除
发表于 2018-2-26 16:52:44 | 显示全部楼层
本帖最后由 霄栋 于 2018-2-26 17:07 编辑
欧阳宣 发表于 2018-2-26 13:07
BD在2018版之前我应该可以确定是没有回滚的,后面atc改为atd了才有说到的那些变化,因为ATD本来就是ATC变 ...

实际上BD2018 刚发布时,ATD并没有“回滚”的能力,依然只能清除样本母体。这个功能是之后更新加入的。
关于该特性,我的表述并不准确。不过确实是ccboxes最早发现的,在该贴(https://bbs.kafan.cn/thread-2106155-2-1.html)19L,ta的原话是这样的:
等着看吧,BD正在进行近几年最激进的改进,首当其冲的就是ATD,目前这个Gen:Atc4.Detection是新的清毒系统的雏形,有点类似于趋势的关联扫描。不过显然还要调整,目前回溯的范围有点太大了,也不够细化,我这边的话基本上ATD杀都是一杀杀一串,基本所有衍生物都能干掉。

不过在后来的讨论里(https://bbs.kafan.cn/thread-2112673-2-1.html),14L,出现了回滚的提法:
跟没跟进ATD要看是否能够回滚,尝试样本区双击,看看衍生物有没有被隔离。

之后的讨论可能均是沿用了这一说法。

关于该特性的测试:https://bbs.kafan.cn/thread-2114435-1-1.html,9L ccboxes测试ATD,清除样本及其衍生物,同样使用了”回滚“的描述。样本区也有一些零散的测试,比较近的如温馨小屋在这个贴子(https://bbs.kafan.cn/thread-2116614-1-1.html)4L的测试。
不过正如我之前的回复,测试结果仅体现了对文件衍生物的清除能力,并没有反映ATD对系统注册表等更改的回溯能力。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 14:47 , Processed in 0.106402 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表