Emsisoft 薛定谔的病毒检测标准

anthonyqian

ikochina 发表于 2021-6-17 20:59
这个的2.6好像很多误报的，智量、大蜘蛛都误报，上传后都解除了误报。解除误报前更新新版2.7竟然不报了。现 ...

卡巴都报毒了呢。。。

KevinYu0504

anthonyqian 发表于 2021-6-17 21:04
卡巴都报毒了呢。。。

其实很多时候有些档案或程序只是个 " 残渣 "，
可能是恶意软件或者木马的某部分，亦或者是残存、不完整的一小部分，
但里面的 code 被杀毒软件侦测到，所以仍判定为有害内容。

我以前曾经上报过某个 jar 档案给赛门铁克，因为该档案被其他软件报毒，
但赛门铁克没有侦测到。
将样本上传后，收到他们人工技术分析后的回覆，
赛门铁克指出档案本身内有疑似恶意的 code，
但并不完整也不会造成系统伤害，该 code 也无法运行，
只能怀疑是恶意程序的某一小部分而已，因此不需要拉黑。

所以有时候杀毒软件侦测到的，也可能只是恶意程序的尸体或残骸，
也许残骸本身已无意义，但杀毒软件还是有可能侦测到有部分的 code 符合恶意的定义，
所以拉黑等等。

不过也当然的，有时候还是会发生杀毒软件将正常的 code 视为恶意，
这种就是较常见的误判，就得靠杀毒软件商去加白处理。

anthonyqian

KevinYu0504 发表于 2021-6-17 21:20
其实很多时候有些档案或程序只是个 " 残渣 "，
可能是恶意软件或者木马的某部分，亦或者是残存、不完整 ...

是的。。。自动分析很容易因此而误报样本。BD的Trojan.GenericKD.XXX 报法其实就是自动分析的。这时候人工分析很容易判定是否是误报。

说实话，第一次Emsi的回复中就已经说了“It's possible the application this came with does not actually use that code”，说明Emsi的分析师已经注意到这个程序本身无恶意行为，但还是声称“the possibility is still there and using it is a potential risk.”不知道是咋想的，是怕得罪BD呢，还是怕麻烦，不想上报误报给BD，才编出如此莫名其妙的借口搪塞用户。

anthonyqian

henry217 发表于 2021-6-17 19:48
火绒也还可以吧

毕竟你要联系客服就直接联系到工程师了

还有智量

A.Thousand.Suns

之前我用Emsisoft的时候就是这样，上传VT绝大多数报安全他们就会加白名单，至于他们有没有进一步自己验证就不知道了

企稳向好

技术支持很看人的，BD的技术支持工程师也有不靠谱的时候，卡巴的样本分析师也误入库过白文件，说白了都有不严谨的地方。BD库不由Emsisoft维护，估计这个样本就是工程师懒得处理，就给个说辞推拖一下你找BD上报后他们没有推脱的理由了，毕竟自己云端加白也不是个麻烦事

anthonyqian

企稳向好 发表于 2021-6-18 10:50
技术支持很看人的，BD的技术支持工程师也有不靠谱的时候，卡巴的样本分析师也误入库过白文件，说白了都有不 ...

的确应该是托词。

我才刚用emsisoft 上报了第二个样本 就出现这种情况 是我运气太好了吗……

anthonyqian

A.Thousand.Suns 发表于 2021-6-18 09:26
之前我用Emsisoft的时候就是这样，上传VT绝大多数报安全他们就会加白名单，至于他们有没有进一步自己验证就 ...

好家伙 真这样 我也能当Malware Analyst

企稳向好

anthonyqian 发表于 2021-6-18 11:51
的确应该是托词。

我才刚用emsisoft 上报了第二个样本 就出现这种情况 是我运气太好了吗……

那就不清楚了，我之前给Emsisoft上报，感觉处理我问题的技术支持还蛮好的，按照我描述的情况搭建测试环境测试样本，最后发现确实有问题。像BD基本不会这么搞，他并不在意你的意见，只要他们环境测不出来，那大概率就没后续了，

A.Thousand.Suns

anthonyqian 发表于 2021-6-18 12:08
好家伙 真这样 我也能当Malware Analyst

我是看他们响应确实是很快，快到根本就没时间去分析，所以我觉得应该是没有进一步验证