BitDefender官方对一些问题的回复

目前收到的问题/建议（因个人原因，近期无时间继续帮大家反馈，如有问题，请自行联系技术支持）:
1.官方中文支持问题 - 已收到回复，官方表示目前无计划

Thank you for your suggestion. My colleagues in the Product Team tell me that there are no current plans for adding Chinese to Bitdefender in the immediate future, but, depending on a complex series of factors, that may change in the long term.

个人反馈:

1.AMSI 支持问题 - 已收到回复，官方表示正在研究重新引入此特性（所以你当初为什么要砍掉呢？）

（注：BD2019移除了AMSI特性的集成，当时我曾询问技术支持，得到回复称AMSI由WD提供且在某些情况下，即使关闭WD，它仍可进行检查。
参见：https://bbs.kafan.cn/thread-2134226-1-1.html）

Bitdefender is currently no longer an AMSI provider, so notifications regarding detections are currently not displayed in Windows using the AMSI feature.

We are still analyzing reintroducing the feature in our Windows product.

2. ATD对MBR的保护 - 已收到回复，官方表示BD没理由不具备此种保护（指MBR保护）（容我发他们个MBR样本打打脸）
更新：样本被入库了事，官方开始装死。我觉得不用指望ATD增强对MBR类样本的防护了。

Hello! Currently, we see no reason not to have this kind of protection in place. We are also, of course, always looking to expand the range of features if it's something useful for our users!

今年测试社区的讨论热度比往年都高一些（不知道是不是因为2020beta实在没太大改进导致大家到公版吹水），其中不乏给BD提的各种意见。与之前不同，今年社区足足进驻了6个官人，对部分问题和建议给予了一定的回复（当然有些老生常谈的问题官方还是继续装死），我大概看了下，其中有些还是值得在这里提一下（毕竟beta测试结束，社区就关了）
一些饭友可能有点兴趣的建议/问题及回应：

1. 关于加入启发级别调整选项 - 我们目前无此计划
2. 关于支持UEFI扫描 - 我们正在评估可能性，可能在未来加入此功能。
3. 关于PC产品恢复支持检测Android恶意软件（目前BD桌面版移除了Android恶意软件库）- 特征库从最好的性能和与平台相关的最佳防护角度进行优化，但我们会考虑此意见。
4. BD Central支持2FA（双因素验证）- 我们正在开发此功能
5. 配置（如防火墙设置、反病毒排除）支持导出 - 该功能值得在未来考虑。
6. 关于样本上报 - 网页上报系统（自动系统回复）：https://bitdefender.com/submit ，邮箱上报（技术支持回复）：bitsy@bitdefender.com
7. 关于优化扫描速度 - 测试团队正在调查
8. 关于BD增加远程支持 - 正在内部讨论，目前暂无计划
9. 关于BD2020beta的检测率改进 - 检测率方面无提升
10.关于BD Android版支持离线扫描（目前BD Android版必须使用云扫描）- 暂无计划部署离线引擎，后续会考虑
11（New!）.关于改进BD对PUA/PUP的侦测 - 正在寻求方式改进对广告软件的侦测

Hello ! Although adware is not inherently malicious, we do understand that unwanted ads can become quite annoying and they can drastically deter a user's experience. We are currently investigating ways to improve adware detection , thank you for your input!

当然，对有些建议，官方一如既往装死。如云信息的可视化（类似KSN），恢复主界面的更新按钮，自我保护对加驱的处理等。


另外，有些问题目前无人提及，我打算整理一下提交给官方（但不确定官方是否会处理）。比如：ATD对MBR的保护，Generic特征库的优化，AMSI选项，BD主进程的AM-PPL保护等。

Gollum

右键查看KSN确实方便，BD能带上就好了
Autopilot既然无法关闭，托盘图标的小飞机标识就没啥意义，希望简洁地显示B字样

Gollum 发表于 2019-6-24 08:51
右键查看KSN确实方便，BD能带上就好了
Autopilot既然无法关闭，托盘图标的小飞机标识就没啥意义，希望简洁 ...

KSN那种官方大概率不想弄，否则不会一直装死

Autopilot我自己倒是感觉没什么，我可以去beta社区问问。

Gollum

最近注意到BD引起进程里System占用极高，CPU会蹦到30%（平常不到7%），定位到ntoskrnl.exe。反病毒模块里把实时监控关了瞬间缓解~

Gollum 发表于 2019-6-27 20:03
最近注意到BD引起进程里System占用极高，CPU会蹦到30%（平常不到7%），定位到ntoskrnl.exe。反病毒模块里把 ...

这你得联系技术支持，没人反馈他们是没法调查的

B100D1E55

我一直以为消费者版早就有AMSI，没想到居然后面又移除了，这是闹哪样……

至于加驱、写MBR之类的我想BD也很苦恼吧，毕竟主防误杀/冲突还是挺多的，之前还看到有人骂说固件升级的时候主防突然发威导致机器差点变砖

至于BD扫描速度真是个迷，1个样本右键能扫上半分钟甚至一分钟，不知道在做什么

B100D1E55 发表于 2019-6-28 13:20
我一直以为消费者版早就有AMSI，没想到居然后面又移除了，这是闹哪样……

至于加驱、写MBR之类的我想BD ...

家庭版确实一早有AMSI，2019年10月，BD2019更新至23.0.11.48，移除AMSI选项。我询问技术支持，他们告诉我2019不再集成AMSI支持。这两天在Beta社区吹水，又和官人谈了这个问题，他们说考虑重新加入
我至今还是不知道当初为什么他们觉得这个应该砍掉。

加驱这个，各家策略不太一样。有一种思路是，用主防/HIPS拦截加驱操作（卡巴、Dr.Web等都可以做到）。还有一种思路，是直接入库一些可能被利用的驱动甚至ARK本身（比如Process Hacker、PCHunter等）。当然也还有其它一些应对方法。至于BD，ATD目前还没有针对加驱本身的防护，也没有入库这些ARK/驱动，与其它厂商相比，就存在这方面的安全风险。

MBR防护的话，其实以前的ATC是可以拦住的，不知道为什么新版的ATD不能防御这类威胁了。如果简单粗暴一些，不执行额外操作，双击基本就是蓝屏，然后MBR被破坏。论坛里有一种说法是BD认为UEFI+GPT是大势所趋，因此移除了对MBR的防护。然而，考虑到BD目前的版本甚至没有UEFI扫描（官人说会在以后加入），我觉得这个猜测并不能使人信服。

BD的扫描速度问题是beta社区一位dalao提的，Ta对比了BD及其OEM厂商（eScan）的扫描速度，发现扫描同样的文件，BD本体扫描速度反而更慢，于是联系了技术支持团队。目前BD官方还在测试跟进这个问题。

B100D1E55

Sailer.X 发表于 2019-6-28 18:28
家庭版确实一早有AMSI，2019年10月，BD2019更新至23.0.11.48，移除AMSI选项。我询问技术支持，他们告诉我 ...

我觉得时至今日越来越多script毒感觉AMSI也要被玩坏了。明面上的对抗技术永远都是这样，初期很有效，慢慢就会被玩坏: https://0x00-0x00.github.io/rese ... owershell-code.html

加驱这东西比较麻烦，你说的那种主防拦截应该是手动档设置，但对于普通没有判断能力的用户来说其实没什么用。入库ARK虽然也可以，但是实际操作中这种跟在后面擦屁股的做法并不能持久。生活中很多正常加驱的场合，比如搞单片机开发、游戏反作弊系统等等、五花八门硬件驱动，更别提有的还搞驱动白利用，因此为了不出乱子目前也就是靠前置分析了。所以杀软行为监控虽然是抗样本混淆的好方法，但一旦被样本抢占先机并针对性对付就很麻烦，我觉得解决这个问题估计还需要系统级别以及硬件上的改进，比如增加系统权限分级（当然就算这样照样有被玩坏的可能）

至于MBR这个猜测我觉得还是有一定道理，首先海外MBR锁机比较少，此外MBR这类底层操作要是中途被误拦后果可能很严重。他们云端对MBR检测还是比较严格的，但客户端首要确保别弄砖用户机器

BD的扫描速度……我真不知道那扫描引擎在做什么。黑文件单个扫上半分钟一分钟是家常便饭，比ESET还夸张

B100D1E55 发表于 2019-6-28 22:06
我觉得时至今日越来越多script毒感觉AMSI也要被玩坏了。明面上的对抗技术永远都是这样，初期很有效，慢慢 ...

BD 官人回复我了，我觉得仅从这个回复来说，他们应该没有刻意移除ATD对MBR保护的意思：

Hello! Currently, we see no reason not to have this kind of protection in place. We are also, of course, always looking to expand the range of features if it's something useful for our users!

我猜，会不会是海外这类样本比较少，导致他们训练ATD的检测模型没有覆盖国内某些改MBR的样本行为？

B100D1E55

Sailer.X 发表于 2019-7-4 11:44
BD 官人回复我了，我觉得仅从这个回复来说，他们应该没有刻意移除ATD对MBR保护的意思：

是吧。主要还有就是看这类样本其他行为多不多。如果太过直截了当（比如就写mbr一个行为），那么自动化主防很难将其同其他正常改mbr的程序区分开来