一个神奇的PUA检测引起的思考（LiveGrid、文件信誉相关）

显示全部楼层 · 发表于 2021-1-25 12:00:18

本帖最后由 TimelessTT 于 2021-1-30 22:29 编辑

昨天装了中文版ESET，发现了一个很有趣的现象
组件安装完毕后首次扫描途中扫到了两PUA（应该是同一文件），如图

该文件是联想电脑管家的某个组件，带数签
（当然，ESET对联想电脑管家某些组件报PUA我是知道的。前段时间用的英文版，并且做了对应的排除

）附文件属性：

精彩的来了，在经过漫长的等待扫描完毕后，结果出现了如下差异：

英文版会弹出选择PUA处理方式的窗口，中文版并没有出现该窗口。
（不过有一个点要明确一下，英文版是一个月多前装的，中间有段时间换了卡巴）

我当时以为是不小心关掉了...然后，我找到该文件进行了手动扫描并检查了信誉：

文件显示信誉良好，并且再扫描已经不报毒了

随后，我上传了VT和微步：

英文版似乎依旧报毒......？

我还是没想明白造成这种差异的原因是什么...下面有些想法想和大家探讨下：
1.首次扫描的参数是否与监控和手动扫描不同，从而导致出现这种结果（我想答案应该是否定的，参考VT和微步结果...）
2.存在LiveGrid给文件加白的现象
3.中英文版本差异。中文版或许已经存在某种意义上的本地化适配，不仅限于易语言...
4.我电脑/环境问题

我稍微整理了一下，如果结合LiveGrid的表现，现在存在几种不同结果：

A文件信誉不良，中英文版本都报PUA，比如：

B文件信誉良好，中文版不报毒，英文版报PUA，如本楼开篇提到的联想电脑管家文件

C文件信誉不良，中文版不报毒，英文版报PUA，如部分通杀的易语言程序、某些国产软件：https://bbs.kafan.cn/thread-2198871-1-1.html、

现在看来，B类文件差异化的出现，很像是上述猜想2、3结合的结果。即中文版会对某些信誉良好但存在“PUA特征”的文件加白，而英文版并不会。而这个加白的原因目前还不甚清楚，不过更像是ESET有意而为。

（吐槽一句，如果上述猜想是真的，那ESET这种自我矛盾“为了杀而杀”的行为多少有点...傲慢与歧视的嫌疑

）

虽然如此，但也给了我一些启发。在国内环境下，使用中文版ESET或许是个更好的选择。并且在PUA检测方面，LiveGrid上的信誉或许要比单纯的扫描要来得更实在。

附文件:https://wws.lanzous.com/ikXxQkvtubg 密码:gm38

找了一阵子LiveGrid资料...似乎找到了想要的答案
https://help.eset.com/glossary/zh-CN/?technology_livegrid.html

在用户系统上检查可执行文件或压缩文件时，系统会首先将其哈希标记与数据库中的白名单和黑名单项进行对比。如果发现它位于白名单中，则检查的文件将被视作干净并且将被标记，以便从日后的扫描中排除。如果发现它位于黑名单中，将根据威胁的性质采取相应的措施。如果未发现匹配，将彻底扫描文件。基于此次扫描的结果，文件将被分类为威胁或非威胁。此方法对于扫描性能有着极为重要的积极影响。

LiveGrid加白确实是存在的，且能判断的一点即是LiveGrid优先级会比检测引擎来得更高（拉黑、加白）。
不过根据6L-9L回帖，产生的差异似乎并非来自语言版本的不同。这么说的话，矛头只能指向LiveGrid运作方式和网络了

可预见的是，在国内环境下，如果LiveGrid连接不畅，降低防护与增加误报（比如这类文件被当成PUA检出）在所难免。
通过这件事情可以看出，ESET的云化程度已经相当高了，各位使用ESET的同时也好好检查下LiveGrid是否连接顺畅吧。

显示全部楼层 · 发表于 2021-1-26 14:30:09

2据我所知是绝对存在的

显示全部楼层 · 发表于 2021-1-26 16:02:02

本帖最后由 TimelessTT 于 2021-1-26 19:09 编辑

欧阳宣发表于 2021-1-26 14:30
2据我所知是绝对存在的

感谢解答
想了想确实可能是这样...

显示全部楼层 · 发表于 2021-1-26 18:59:41

你应该把那个文件发上来

显示全部楼层 · 发表于 2021-1-26 19:06:42

蓝泽祈发表于 2021-1-26 18:59
你应该把那个文件发上来

抱歉...昨天发帖打包完忘了

已上传

显示全部楼层 · 发表于 2021-1-26 19:20:23

本帖最后由蓝泽祈于 2021-1-26 19:22 编辑

TimelessTT 发表于 2021-1-26 19:06
抱歉...昨天发帖打包完忘了
已上传

我这联想电脑管家文件也报PUA，你的ESET抽风了？试了2345确实不报，立马换英文版去

显示全部楼层 · 发表于 2021-1-26 19:29:57

本帖最后由 TimelessTT 于 2021-1-26 19:32 编辑

蓝泽祈发表于 2021-1-26 19:20
我这联想电脑管家文件也报PUA，你的ESET抽风了？试了2345确实不报，立马换英文版去

不杀灵敏度也调过了
可以试试关掉pua-然后检查一次该文件信誉-再开pua吗？看看是不是LiveGrid没连上

毕竟是一个良好信誉文件

显示全部楼层 · 发表于 2021-1-26 19:37:09

本帖最后由蓝泽祈于 2021-1-26 19:38 编辑

TimelessTT 发表于 2021-1-26 19:29
不杀灵敏度也调过了
可以试试关掉pua-然后检查一次该文件信誉-再开pua吗？看看是不是LiveGrid没连上[:1 ...

晚了，已经换上英文版了

。刚才联想电脑管家杀，2345不杀。现在换上英文版，都杀了。我记得LiveGrid要是没连上，主界面会有提示吧。

显示全部楼层 · 发表于 2021-1-26 19:42:50

蓝泽祈发表于 2021-1-26 19:37
晚了，已经换上英文版了。刚才联想电脑管家杀，2345不杀。现在换上英文版，都杀了。我记得LiveGrid ...

确实不过也有可能和缓存有关
比如我首次扫描也会报毒之后就不报了

显示全部楼层 · 发表于 2021-1-27 01:45:39

本帖最后由 InnoriaAlter 于 2021-1-27 02:06 编辑

好像之前某个样本就是2345系的软件中/英版本出现了报/不报的差异。我也试着去下载了2345的浏览器确实不报了.

虽然说是妥协但是后续很难说会不会出现对tx系等等的加白... 嗯... 不知道是好事还是坏事

[讨论] 一个神奇的PUA检测引起的思考（LiveGrid、文件信誉相关）

本帖子中包含更多资源

本帖子中包含更多资源

评分