关于BD免费版的引擎

裂空我爱杰

BD免费版的引擎扫描效果和收费版不知道是否一样。
免费版防御等级好像只有默认中等级
然后官方说有ATD，看了下文件还是ATC。

不知道有木有大佬知道详细，求指导下，谢谢了。

关于BDF与BD家庭版的区别，我在这个贴子里曾经讲过一点：https://bbs.kafan.cn/thread-2135967-1-1.html
不过现在情况已经有所变化，家庭版已经同步了2代gemma，而且在ATD设置中还专门加入了漏洞防御的开关。



至于其它方面，像云遥测的相关文件，以及那个巨大的nnml，目前家庭版并无变化。

样本区我的回复：

版本基本是一致的，主要防护功能（特征引擎，云，主防，反入侵等）都在，不过bdf的更新策略更激进一些，有时候会优先使用一些新的模块，这可能导致检测率与家庭版不一致，同时也可能存在稳定性问题。例如，bdf之前率先更新ctc heur模块，该模块在bd2019才加入家庭版；今年也是bdf先更新了bd的第二代漏洞防御组件gemma，后来才同步到家庭版。这阵子bdf的特征库似乎又加了点新东西，同时出现了独立的主防进程（atchost），估计bd又有些新动作。但老实说，从我个人的测试来看，bdf的新组件带来的检测率变化并不明显，稳定性倒确实差一些（我这里遇见过多次无法加载特征库的bug，以及主进程反复异常重启）。我个人仍然倾向于bdf就是家庭版的试验田，所以追求稳定的话还是推荐使用家庭版（虽然家庭版bug也不少，像搜索建议失效，otp排除失效，atd日志丢失等）。如果喜欢尝鲜且不介意遇到一些更严重的bug（主进程崩溃，无法更新组件等）倒是可以试试bdf。

主要是基于最近的一些变化，不过我觉得在样本区讨论不太符合版区，还是在BD自己的分区谈吧。

1.bdf的EventCorrelator（事件关联）组件特征库
EventCorrelator组件本身应该在早前版本就已出现，不过最近它的特征库引起了我的注意。该特征库包含两个部分。第一个部分叫ecam（推测全称为EventCorrelator Anti-Malware，事件关联反恶意软件），注意其中的dll命名，heur（Heuristic，启发式的缩写）、ioc（可能为Indicators of Compromise，IoC，常翻译为威胁情报、入侵指标等）等，推测与行为分析，云遥测有关。





第二个部分叫ser（推测全称为 Security Event Rules，安全事件规则），通过查看dll信息，可以推出这个全称。这个命名比较笼统，不太好猜具体的应用。或许与ecam作用一致。



这两个特征库，目前应该只存在于BDF中，BD家庭版尚未引入。

2. 独立主防进程
BDF之前采用的策略和家庭版一致，都是由主进程（vsserv.exe）调用主防模块的dll。但最近更新后，BDF出现了独立的主防进程ATCHost.exe，如图：



家庭版尚无此进程。

3.其它文件的区别
实际上，BDF与家庭版在共有模块上也存在一点区别。

例如，BD在引入CTC Heur模块后，只有一个ctc文件夹，但BDF则多了一个dll（ctcsensor.dll）：



而对于双方共有的ecal.dll，也存在版本差异，BDF的版本更新一些，也更大一些。

BDF：3.1.12.90 - 1.18MB



BDTS2019：3.0.12.44 - 1.16MB



当然这只是举个例子，实际上两者还可能有其它文件也存在一些区别。不过从这里已经可以看出，BDF确实具有一些新的东西，尽管它们未必能带来可见的检测率的提升

裂空我爱杰

霄栋 发表于 2019-3-15 23:16
关于BDF与BD家庭版的区别，我在这个贴子里曾经讲过一点：https://bbs.kafan.cn/thread-2135967-1-1.html
...

哇！大佬！你那个回复我看到过了，之前想回复下表示受教了但是那个帖子锁了。
这边补充一句：非常感谢~

主要我根据你说的看了下文件，没发现啥区别哈哈，果然是我比较瞎。
看来BDF确实还是厚道的。

Jerry.Lin

霄栋 发表于 2019-3-15 23:16
关于BDF与BD家庭版的区别，我在这个贴子里曾经讲过一点：https://bbs.kafan.cn/thread-2135967-1-1.html
...

能给个最新BDF完整安装包的下载地址么？以前下过一个，数签还是一年前的，那个更新速度……

191196846 发表于 2019-3-16 11:09
能给个最新BDF完整安装包的下载地址么？以前下过一个，数签还是一年前的，那个更新速度……

从官网下载的貌似只有这个老版本的，我也是折腾了很久才到现在的版本。第一次更新，虽然下载了新文件（.upd），但始终无法正常替换文件，反复重启也不行。我又重装了一次，这次显示更新成功，但重启后出现无法加载特征库的bug，再次重启后，主进程开始异常重启。再次重装，这才顺利更新到新版

裂空我爱杰 发表于 2019-3-16 08:24
哇！大佬！你那个回复我看到过了，之前想回复下表示受教了但是那个帖子锁了。
这边补充一句：非常感谢~
...

从功能上说还是比较全面，这点可以说是挺厚道，但不事先通知用户就直接推送测试版组件，拿免费版用户当小白鼠，就不算太厚道了。人家FSP好歹本身申明自己就是测试版，供大家“免费”测试，可BDF主打宣传就是免费（Free），闭口不提自己存在测试未稳定组件的行为。

BD这么做其实是有前科的，以前家庭版测试时就有这种事。明明在测的beta版还不稳定，却无提示直接推送给正式版用户更新，导致正式版用户使用出了问题。给官方反馈，毫无作用。这也是我不在生产环境使用BD的直接原因。

其实我个人并不反对灰度测试，但灰度测试的前提至少是无显著的稳定性问题。但BD官方在收到beta版测试人员反馈问题的情况下，仍然坚持推送beta版给付费用户，这种觉得自己产品非常稳定的迷之自信实在无法让我认同。

我相信有这种感觉的并不是个例。从BD2018版开始，BD官方论坛反馈稳定性问题的帖子越来越多，也有不少人觉得发布不稳定版本、拿用户当免费测试员的行为不太合适，不过目前来看，官方还是不太在乎。
所以在我看来，BDF是个功能比较全面的产品，但要比“厚道”，友商的免费产品可能要更胜一筹（WD、avast等）。

静影沉璧

191196846 发表于 2019-3-16 11:09
能给个最新BDF完整安装包的下载地址么？以前下过一个，数签还是一年前的，那个更新速度……

下载器里提取的，应该可以用：https://c-t.work/s/df85f687b68345

麻衣神相

霄栋 发表于 2019-3-16 12:26
从官网下载的貌似只有这个老版本的，我也是折腾了很久才到现在的版本。第一次更新，虽然下载了新文 ...

离线安装包的地址变了，旧地址只能下载旧版
最新离线安装包官网下载地址 https://bbs.kafan.cn/thread-2145050-1-1.html

裂空我爱杰

霄栋 发表于 2019-3-16 12:47
从功能上说还是比较全面，这点可以说是挺厚道，但不事先通知用户就直接推送测试版组件，拿免费版用户当小 ...

我这边用用倒是还好，和360安全卫士也和谐共处...其实这些新功能也没啥存在感，哈哈。

裂空我爱杰 发表于 2019-3-17 10:00
我这边用用倒是还好，和360安全卫士也和谐共处...其实这些新功能也没啥存在感，哈哈。

和360搭配的话，主防可能会有冲突，注意在BD那边排除下