跟大家探讨：如何在现有人力资源的情况下有效处理病毒

小野泽悠贵

建议：
参考急诊分级模式，将病毒处理进行分级。
先利用自动化工具（以微步云沙箱为例）
程度分别是：
危险
可疑
安全
优先处理危险的，没毛病吧。沙箱都跑出来了，肯定有问题。

第二，火绒可以把“病毒志愿团”整合一下，多蹲点搜集正在危害的。
微步X社区经常有，但是火绒官人没去蹲点。。。

dsb2466

TOO YOUNG TOO SIMPLE

小野泽悠贵

dsb2466 发表于 2019-5-9 09:58
TOO YOUNG TOO SIMPLE

我很好奇他们为啥要一次扔1000x的样本

麻衣神相

采用机器学习分析判定样本，才能提高效率，全人工分析判定肯定效率低下

【乱】

个人观点
第一很多东西不是想搞就搞出来的
第二 资源有限 精力有限，一个1000X包 有一半是白文件去让一个员工 工程师无脑式的去把白文件定义成病毒 有没有毛病 或浪费资源？
第三 火绒自身如何定义？
我选择火绒本身并不看重火绒查杀的，而是他相当于类似 微点加强或进化版，性能影响低 hips防火墙
论坛很多人想看到火绒变成卫士 管家那样，也有很多不喜欢 管家和卫士的花销功能，只希望火绒简洁

很多白文件 无害文件多 这个很多人说过， 样本区也说话过，当初金山也说过很多只是灰文件 不过后来也跟着玩论坛查杀，有时查杀上不给力的 但有时也各家杀软粉看误报很过瘾罢了。
大量黑白样本混搭 提供官方分析，这样对于本身对团队规模不大的火绒团体 在精力分心上还是蛮有伤害的；工作人员一开始可能很热心的去搞分析，但后期诸多白样本 会让工作人员精疲力竭 就像一个没问题的东西你硬要说这东西有毛病，那么大量投入的精力却发现不了毛病 是很奔溃的。之后的后遗症会导致工作人员在分析上变的粗心大意吧。

另外各家情况不一样，360QVM误报高 不过360的客户端覆盖高 ，网友很多软件肯定先试试360或多引擎网站然后上报自己软件，360可以一边玩论坛测试 一边有自主上传白文件的；火绒在这方面不太一样 。

另外我觉的火绒的侧重也不一样主打是hips 外加各种网友防御规则，这才是火绒好玩的部分，而查杀方面是比较辅助的，对比起来火绒性能上也有很大优势
说让火绒去国际评测，这不是逼着火绒去租个国外引擎玩公关吗？？？国内三家拿国外引擎去国外作弊掉销售资格还不过瘾吗？

从客观运营上，火绒好像并没上云查杀的打算，也没做本地超级库的打算，所以在查杀角度来讲 应该不是火绒首选侧重的？
想起一个事情， 如果在安软上资质够长，那么应该知道EWIDO杀软 也就是AVG前身， 人家喜欢报tracking cookie ，每次用完浏览器 上网就能扫到很多tracking cookie，以前不懂事 以为这杀软贼给力天天杀病毒 所以每天都扫每天都倍爽 这真的是大家所需要的吗？

renshijian

1，火绒更了解自身的情况。
2，火绒的人不傻。

yjwfdc

火绒的查杀低，我一点都不在乎，我以前用一点杀毒能力都没有的md的时候，电脑是最安全的。

我在乎的是火绒的自保能力和hips的可用性太低了。

kim545

如果只有靠人工分析永远赶不上进度的

柯林

普通用户路过，凑热闹，打点酱油，小白愚见，可有三选：
1、上云，让云自动收集和分析，这个效率最高。
2、把云无法确定的，可疑度高的，优先转人工分析。如果条件不允许，暂时上不了云，何不接个多引擎在线扫描，简单明了。
3、发展AI系统---既然火绒就是搞行为防御起家的，行为分析自然拿手，这是优势，应该进一步发展AI自动分析判定系统，所谓万变不离其踪，危险的动作就是那么一些，把它标注出来，大数据或自动学习进行推演总结，哪些行为特征组合在一起就是“炸弹”。这一套搞出来，工程师就可以省事了，管它什么东东，往里一扔，可疑的立马出来了，模棱两可的再转人工。这套系统搞出名堂，可以在业界卖钱。

小野泽悠贵

柯林 发表于 2019-5-10 09:38
普通用户路过，凑热闹，打点酱油，小白愚见，可有三选：
1、上云，让云自动收集和分析，这个效率最高。
2 ...

火绒拒绝多引擎