Emsisoft 薛定谔的病毒检测标准

anthonyqian

众所周知，Emsisoft 是 OEM Bitdefender 引擎的杀软，同时 Emsi 也有自己研发的 A 引擎以及 Anti-Malware Network 云端信誉库。

昨天刚入正了 Emsi，就遇到了一个误报（https://bbs.kafan.cn/thread-2210058-1-1.html），误报的是 Panda OCR，报毒名称是 Trojan.GenericKD.37108054，显然是来自 BD 引擎的误报，然后通过查询云端信誉可以发现 Emsi 已经给该程序评分为不安全了。由于这个样本我之前也陆续上传过 ESET 和赛门铁克，均解除了误报，所以我也抱着一定会解除误报的态度上传了 Emsi。很快，收到了他们的回复：

Hello,
Thank you for reporting this issue. However this file does in fact contain known exploit code, for which reason it is correctly detected.
It's possible the application this came with does not actually use that code, but the possibility is still there and using it is a potential risk.

--
Best regards

大意是由于该程序包含已知的漏洞利用代码，尽管也许没有真正使用该代码，但基于防范潜在风险的考量，仍旧认为检测正确，不予解除误报。

Emmm，听起来很合理的样子，而且 Emsi 很严谨呢！但我想其他一些解除误报的杀软大厂总不会没考虑到这点吧，因此接着上报了 BD。

虽然 BD 处理完毕貌似没有邮件回复，但在上报了几小时后，我收到了 Emsi 的弹窗提醒：



应该是BD引擎已经解除了误报，于是上传了 VT，证实了这一点。然而，双击 Panda OCR 还是被 Emsi 的云端信誉报毒。于是果断继续向 Emsi 上传误报，同时明确指出：This program has been whitelisted by Bitdefender, ESET, Kaspersky and Symantec.（该程序已被BD ESET 卡巴 铁壳加白）
数小时后，收到Emsi的回复：

Hello,
thank you for your submission. I have checked and whitelisted the file. It should no longer be blocked after the next online update.
Best Regards

大意是我已经加白了该程序。查了下Emsi信誉，果然变成了“安全”。

Emmm，简直是大型打脸现场。说好的“检测正确，不予解除误报”呢？难道 Emsi 没有自己的一套固定的威胁检测标准，而是要看其他大厂的结果，决定是否加白或拉黑吗？

同时，我也很好奇，一些使用了 BD Avira 引擎的杀软厂商，遇到所使用的引擎误报时，是否都会想方设法合理化对方引擎的误报。

henry217

迷惑操作

你去用一个OEM别家引擎的软件还不如用引擎开发者的软件

小厂不是很可靠，更何况emsi内存占用也算大的（继承BD的蛋疼特性）

anthonyqian

henry217 发表于 2021-6-17 18:38
迷惑操作

你去用一个OEM别家引擎的软件还不如用引擎开发者的软件

因为之前听说Emsi的BB主防很厉害，我今天双击了几个样本发现BB主防可能只针对勒索强点
还听说Emsi的客服很nice，emmm，态度是OK，但专业度么就不评论了。

Emsi流畅度还行欸，单一个内存占用大也不能反应日常使用流畅度的。

KevinYu0504

我个人的理解是这样，
应该是刚档案(程序)已经被分析过并入库，
所以你回报后 Emsi 可能为了节省人力 ?
当下第一时间是直接去查询该程序被拉黑的相关分析资料来回覆你 ....

不过当程序被 BD 那边解除拉黑后，Emsi 使用的是 BD 的库，
自然就不再侦测到威胁了，所以 Emsi 云那边应该也会被列入白名单了。

不过严格来说我确实觉得 Emsi 这次在处理楼主回报的误报上不够严谨，
或许楼主下次再回报的时候，可多留几句注解，告知其他厂牌均已检测却认为误报(FP)，
请 Emsi 再次分析确认，或许收到回报的人会做进一步处理。

-----------------

我以前有过个经验，安装软件过程中，Emsi 检测到一项程序被 BD 拉黑，
反馈后 Emsi 给我的答覆是确实是误报，但 Emsi 无法当下直接修正 BD 的库，
所以他们会协助我将相关资讯转达给 BD 那边去修正，
而在 BD 修正误报前，Emsi 先透过自家云这边加白，避免误报，
直到 BD 库修正为止后， Emsi 再将云服务这边临时加白的措施移除。

KevinYu0504

anthonyqian 发表于 2021-6-17 18:44
因为之前听说Emsi的BB主防很厉害，我今天双击了几个样本发现BB主防可能只针对勒索强点
还听说Ems ...

建议可以尝试在防护设置那边，将强度改成均衡，




如果内存较少的电脑，可勾选内存优化选项。
此外在高级设置内，可以将自动允许信誉良好的部分 取消勾选，
这样做会让 BB 弹窗的机率增加，但使用者可有更多可控的空间。

anthonyqian

KevinYu0504 发表于 2021-6-17 19:08
我个人的理解是这样，
应该是刚档案(程序)已经被分析过并入库，
所以你回报后 Emsi 可能为了节省人力 ?

第一次联系Emsi并获得回复花了几个小时的时间，应该是有分析过样本代码和行为的吧。。。反而是第二次联系Emsi并成功解除误报花的时间少。

不过当程序被 BD 那边解除拉黑后，Emsi 使用的是 BD 的库，
自然就不再侦测到威胁了，所以 Emsi 云那边应该也会被列入白名单了。

的确，BD那边加白后，Emsi扫描不再报毒了，但Emsi云仍旧显示不安全，所以我才第二次联系Emsi请他们解除Emsi云端的误报。

henry217

anthonyqian 发表于 2021-6-17 18:44
因为之前听说Emsi的BB主防很厉害，我今天双击了几个样本发现BB主防可能只针对勒索强点
还听说Ems ...

其实论专业度的话客服的专业度都不咋地

保姆式引导倒是可以

anthonyqian

henry217 发表于 2021-6-17 19:37
其实论专业度的话客服的专业度都不咋地

保姆式引导倒是可以

专业度卡巴好像不错，至少扔给他们一堆样本都会给你认真分析

henry217

anthonyqian 发表于 2021-6-17 19:41
专业度卡巴好像不错，至少扔给他们一堆样本都会给你认真分析

火绒也还可以吧

毕竟你要联系客服就直接联系到工程师了
所以……

ikochina

这个的2.6好像很多误报的，智量、大蜘蛛都误报，上传后都解除了误报。解除误报前更新新版2.7竟然不报了。现在用pandocr pro，比pandocr更简洁些