楼主: anthonyqian
收起左侧

[讨论] Emsisoft 薛定谔的病毒检测标准

[复制链接]
anthonyqian
 楼主| 发表于 2021-6-17 21:04:23 | 显示全部楼层
ikochina 发表于 2021-6-17 20:59
这个的2.6好像很多误报的,智量、大蜘蛛都误报,上传后都解除了误报。解除误报前更新新版2.7竟然不报了。现 ...

卡巴都报毒了呢。。。
KevinYu0504
发表于 2021-6-17 21:20:27 | 显示全部楼层
本帖最后由 KevinYu0504 于 2021-7-6 16:42 编辑
anthonyqian 发表于 2021-6-17 21:04
卡巴都报毒了呢。。。

其实很多时候有些档案或程序只是个 " 残渣 ",
可能是恶意软件或者木马的某部分,亦或者是残存、不完整的一小部分,
但里面的 code 被杀毒软件侦测到,所以仍判定为有害内容。

我以前曾经上报过某个 jar 档案给赛门铁克,因为该档案被其他软件报毒,
但赛门铁克没有侦测到。
将样本上传后,收到他们人工技术分析后的回覆,
赛门铁克指出档案本身内有疑似恶意的 code,
但并不完整也不会造成系统伤害,该 code 也无法运行,
只能怀疑是恶意程序的某一小部分而已,因此不需要拉黑。

所以有时候杀毒软件侦测到的,也可能只是恶意程序的尸体或残骸,
也许残骸本身已无意义,但杀毒软件还是有可能侦测到有部分的 code 符合恶意的定义,
所以拉黑等等。

不过也当然的,有时候还是会发生杀毒软件将正常的 code 视为恶意,
这种就是较常见的误判,就得靠杀毒软件商去加白处理。
anthonyqian
 楼主| 发表于 2021-6-17 21:33:51 | 显示全部楼层
KevinYu0504 发表于 2021-6-17 21:20
其实很多时候有些档案或程序只是个 " 残渣 ",
可能是恶意软件或者木马的某部分,亦或者是残存、不完整 ...

是的。。。自动分析很容易因此而误报样本。BD的Trojan.GenericKD.XXX 报法其实就是自动分析的。这时候人工分析很容易判定是否是误报。

说实话,第一次Emsi的回复中就已经说了“It's possible the application this came with does not actually use that code”,说明Emsi的分析师已经注意到这个程序本身无恶意行为,但还是声称“the possibility is still there and using it is a potential risk.”不知道是咋想的,是怕得罪BD呢,还是怕麻烦,不想上报误报给BD,才编出如此莫名其妙的借口搪塞用户。
anthonyqian
 楼主| 发表于 2021-6-17 21:35:30 | 显示全部楼层
henry217 发表于 2021-6-17 19:48
火绒也还可以吧

毕竟你要联系客服就直接联系到工程师了

还有智量

评分

参与人数 1人气 +1 收起 理由
henry217 + 1

查看全部评分

A.Thousand.Suns
发表于 2021-6-18 09:26:05 | 显示全部楼层
之前我用Emsisoft的时候就是这样,上传VT绝大多数报安全他们就会加白名单,至于他们有没有进一步自己验证就不知道了
企稳向好
发表于 2021-6-18 10:50:31 | 显示全部楼层
技术支持很看人的,BD的技术支持工程师也有不靠谱的时候,卡巴的样本分析师也误入库过白文件,说白了都有不严谨的地方。BD库不由Emsisoft维护,估计这个样本就是工程师懒得处理,就给个说辞推拖一下你找BD上报后他们没有推脱的理由了,毕竟自己云端加白也不是个麻烦事
anthonyqian
 楼主| 发表于 2021-6-18 11:51:25 来自手机 | 显示全部楼层
企稳向好 发表于 2021-6-18 10:50
技术支持很看人的,BD的技术支持工程师也有不靠谱的时候,卡巴的样本分析师也误入库过白文件,说白了都有不 ...

的确应该是托词。

我才刚用emsisoft 上报了第二个样本 就出现这种情况 是我运气太好了吗……
anthonyqian
 楼主| 发表于 2021-6-18 12:08:23 | 显示全部楼层
A.Thousand.Suns 发表于 2021-6-18 09:26
之前我用Emsisoft的时候就是这样,上传VT绝大多数报安全他们就会加白名单,至于他们有没有进一步自己验证就 ...

好家伙 真这样 我也能当Malware Analyst
企稳向好
发表于 2021-6-18 14:05:16 | 显示全部楼层
本帖最后由 企稳向好 于 2021-6-18 14:06 编辑
anthonyqian 发表于 2021-6-18 11:51
的确应该是托词。

我才刚用emsisoft 上报了第二个样本 就出现这种情况 是我运气太好了吗……

那就不清楚了,我之前给Emsisoft上报,感觉处理我问题的技术支持还蛮好的,按照我描述的情况搭建测试环境测试样本,最后发现确实有问题。像BD基本不会这么搞,他并不在意你的意见,只要他们环境测不出来,那大概率就没后续了,
A.Thousand.Suns
发表于 2021-6-18 15:30:57 | 显示全部楼层
anthonyqian 发表于 2021-6-18 12:08
好家伙 真这样 我也能当Malware Analyst

我是看他们响应确实是很快,快到根本就没时间去分析,所以我觉得应该是没有进一步验证
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:41 , Processed in 0.095753 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表