这个是BDF的回滚吗？

saleniy35

Dolby123 发表于 2018-2-24 12:10
是 Reboot 。。。不是roboot

woc我竟然自己手滑打错了啊啊啊啊啊太丢人

驭龙

欧阳宣 发表于 2018-2-24 00:44
ATC没有回滚吧，我记得付费版的ATD才有

其实我很好奇，为什么都说ATC有回滚，却没有一个证实的帖子和测试？不知是谁先说的，让他来个证据不？

PS：反正我是没兴趣玩BD

驭龙 发表于 2018-2-24 19:12
其实我很好奇，为什么都说ATC有回滚，却没有一个证实的帖子和测试？不知是谁先说的，让他来个证据不？

...

最先发现的可能是ccboxes。我后来虚拟机测试过一些样本，atd已经具备一部分回滚能力，例如一个js，双击会拦截一串进程，清除时会将js，下载的衍生物等一并清除。某个可疑安装包，双击拦截会一起删除安装包源文件和释放的文件。但这个回滚当时并不完善。有个勒索样本,atd拦截时甚至把被加密的文件当作衍生物一起干掉了，但回滚并不完整，有些衍生物还是被漏掉了。从日志来只能看到被拦截的进程，隔离区也只有被清除的文件而已。对于注册表之类的系统修改是否也被一并清除，我并没有详细测试。最近没有玩bd，不知道有没有什么改进。

驭龙

霄栋 发表于 2018-2-25 17:03
最先发现的可能是ccboxes。我后来虚拟机测试过一些样本，atd已经具备一部分回滚能力，例如一个js，双击会 ...

听上去好像是修复流程？希望以后有机会我自己也去测一下来了，现在我没有虚拟机，就不玩双击了

欧阳宣

驭龙 发表于 2018-2-24 19:12
其实我很好奇，为什么都说ATC有回滚，却没有一个证实的帖子和测试？不知是谁先说的，让他来个证据不？

...

BD在2018版之前我应该可以确定是没有回滚的，后面atc改为atd了才有说到的那些变化，因为ATD本来就是ATC变化而来，所以可能会有人这么想。ccboxes蛮实事求是的，不觉得他会这么说

驭龙

欧阳宣 发表于 2018-2-26 13:07
BD在2018版之前我应该可以确定是没有回滚的，后面atc改为atd了才有说到的那些变化，因为ATD本来就是ATC变 ...

我也没有看到相关的官方介绍和个人测试，样本区的话看图好像是类似于修复的操作，跟卡巴SW的回滚好像真的不一样，我也没有玩，所以不清楚有没有2018回滚

欧阳宣 发表于 2018-2-26 13:07
BD在2018版之前我应该可以确定是没有回滚的，后面atc改为atd了才有说到的那些变化，因为ATD本来就是ATC变 ...

实际上BD2018 刚发布时，ATD并没有“回滚”的能力，依然只能清除样本母体。这个功能是之后更新加入的。
关于该特性，我的表述并不准确。不过确实是ccboxes最早发现的，在该贴（https://bbs.kafan.cn/thread-2106155-2-1.html）19L，ta的原话是这样的：

等着看吧，BD正在进行近几年最激进的改进，首当其冲的就是ATD，目前这个Gen:Atc4.Detection是新的清毒系统的雏形，有点类似于趋势的关联扫描。不过显然还要调整，目前回溯的范围有点太大了，也不够细化，我这边的话基本上ATD杀都是一杀杀一串，基本所有衍生物都能干掉。

不过在后来的讨论里（https://bbs.kafan.cn/thread-2112673-2-1.html），14L，出现了回滚的提法：

跟没跟进ATD要看是否能够回滚，尝试样本区双击，看看衍生物有没有被隔离。

之后的讨论可能均是沿用了这一说法。

关于该特性的测试：https://bbs.kafan.cn/thread-2114435-1-1.html，9L ccboxes测试ATD，清除样本及其衍生物，同样使用了”回滚“的描述。样本区也有一些零散的测试，比较近的如温馨小屋在这个贴子（https://bbs.kafan.cn/thread-2116614-1-1.html）4L的测试。
不过正如我之前的回复，测试结果仅体现了对文件衍生物的清除能力，并没有反映ATD对系统注册表等更改的回溯能力。