搜索
查看: 12664|回复: 65
收起左侧

[讨论] 国外杀软大厂样本上报方式总结和评价

  [复制链接]
anthonyqian
发表于 2021-7-20 20:46:09 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2021-9-30 19:15 编辑

样本的上报和后续处理我认为一直是付费杀软售后服务很重要的一部分,同时也是改善自身病毒检测能力很重要的一环,毕竟没有哪个杀软引擎是100%准确的。但是就我最近一段期间给几个杀软大厂上报的体验来看,有的大厂反应迅速,有的大厂已读不回,可谓差异明显。这一方面体现了杀软大厂对普通客户的重视程度不同,另一方面也体现了杀软大厂本身的技术实力存在差异。

下面我总结一下常见的几家国外杀软大厂的样本上报方式和细节,并对我自己比较常用的几个平台在样本上报方面打分。


先说明一下评价体系:

A级
B级
C级
上报便捷度(20%)
上报途径多样,上报要求较少,上报界面友好(20%)
上报途径多样,对上报样本有一定要求,上报界面可接受(10%)
上报途径单一,对样本格式要求严格,上报界面(如有)反人类,要求注册客户才能上报(0%)
上报成功率/系统稳定性(20%)
几乎没有出现上报失败的情况(20%)
有时出现上报失败的情况(10%)
经常出现上报失败的情况(0%)
平均分析效率(20%)
几分钟~几小时(20%)
一天到两天(10%)
三天到一个世纪(0%)
初次分析准确度(30%)
病毒分类大致精准,很少分析失误(30%)
没有病毒分类或分类不精准,有时分析失误(15%)
没有病毒分类或分类不精确,经常分析失误。(0%)
可跟踪度(10%)
有专门的跟踪平台可实时查看进度;或有完善的邮件跟进体系(10%)
有跟踪平台,但状态更新滞后;或后续状态跟进邮件滞后或缺失(5%)
没有跟踪平台,且几乎没有后续跟进邮件。(0%)
附加分 -再次分析的可能性(5%)
会参考用户的意见,再次分析样本,得出最终结论(5%)
/
难以对分析结果提出质疑,要求再次分析。(0%)
注:A+、B+、C+分级在原有赋分的基础上加5分。
一、卡巴斯基
1. 上报方式
  • Opentip 平台(https://opentip.kaspersky.com),上传样本分析完毕后点击Send即可完成上报,只能单个上报。
  • 邮箱(newvirus@kaspersky.com,或china-support@kaspersky.com),样本用“infected”加密压缩为zip后作为附件发送,也可以用不限速、无需注册的网盘链接。邮件主题和正文要加入关键词,例如误报样本“False positive”。可以一次上传多个样本(前者数量不设上限,后者两个为限)。前者需要用英文写邮件。推荐newvirus这个邮箱。如果opentip已经存在该样本,则上报的时可直接提供哈希值。

2. 评价
  • 上报便捷度:A+。提供两种上报途径,其中Opentip集成了在线云沙箱和上报工具,是其他厂商没有的。唯一有点遗憾的是Opentip有时会连不上。而邮件上报方式对于一次上报多个样本来说很方便,是国外大厂里面唯一提供中文样本分析服务的。另外就算样本中混杂着白文件,卡巴也接受。(25%)
  • 上报成功率:B。Opentip平台有时会无法上传,曾经有一段时间通过Opentip上报样本一直失败。china-support@kaspersky.com 邮箱上报不一定每次都成功,且效率不稳定。(10%)
  • 平均分析效率:A+。对于样本的响应速度没话说。就算是自制样本(SchoolBoy)也能做到迅速响应。如果自动机无法做出判断,后续的人工分析也基本上可在几小时内给出判断。(25%)
  • 初次分析准确度:A。分类还是比较精确的。极少数情况有错误加白的情况,但可以接受。(30%)
  • 可跟踪度:A。有完善的后续跟进邮件体系。(10%)
  • 再次分析的可能性:A。可以要求再次分析,分析师也会认真查看你提供的理由。(5%)

总分:105分。

二、诺顿/Symantec
1. 上报方式
  • Symantec上报平台:https://symsubmit.symantec.com/ 。全英文,但还是比较好懂的。可以上传单个文件或是多个样本的压缩包。压缩包要注意内含样本不得超过9个。不得压缩包内放压缩包或压缩包内放文件夹。压缩包可以不加密码。提供了哈希值上报方式,一次可以提交20个哈希值,前提是哈希值需要在VirusTotal上找得到。有后续跟进邮件。如果样本被自动分系统检测到恶意或干净,会在上报后10分钟左右发送Update邮件。最终结论邮件会在好几天后才发送,尽管样本可能早已经处理完毕。
  • Norton上报平台:https://submit.norton.com/ 。基本同上,唯一不同的是没有后续邮件。验证码可能无法正常加载。
  • 产品内上报。手动将要上报的样本加入隔离区,然后再隔离区内可以发现上报该样本的按钮。

2. 评价
  • 上报便捷度:A。虽然没有邮件上报服务,但提供了完善的上报平台。对样本格式要求算比较少。(20%)
  • 上报成功率:A+。我目前还没体验过上报失败、系统宕机的情况。。。(25%)
  • 平均分析效率:B+。一般病毒样本响应速度在几小时左右,几分钟就响应是完全不存在的。误报样本处理由于几乎全人工分析,要花一两天左右,遇到双休日节假日还会延后。。。(15%)
  • 初次分析准确度:B。对于新样本几乎都是Trojan.Gen.XXX 通用Hash拉黑,这种报法产生的误报不在少数。基本上不太能够把诺顿的病毒分析结果当作样本恶意与否的试金石。存在少数错误加白的情况(15%)
  • 可跟踪度:B。有完善的后续跟进邮件体系,但最终结论邮件严重滞后。(5%)
  • 再次分析的可能性:C。不存在的。(0%)

总分:80分。

三、ESET
1. 上报方式
  • 软件内上报:安装了ESET后,右击可疑文件可疑上传给ESET,要注意的是,这种方式不一定能得到优先处理,或压根不处理。
  • 邮件上报:samples@eset.com。重要:如果是上报的是病毒样本,主题栏需要写“Suspected infection”;如果上报的是误报样本,主题栏需要写“False positive”。样本压缩为zip文件并用infected作为密码。应该是可以一次上报多个样本,我没试过。

2. 评价
  • 上报便捷度:A。虽然只有邮件上报服务,但对样本格式要求算比较少。比较方便。(20%)
  • 上报成功率:B+。虽然用邮件上报成功率算大,但用软件内置上报系统上报成功率太低了啊。。。(15%)
  • 平均分析效率:B。自动分析的样本可以做到几分钟出结果,并拉黑。但如果走到人工分析这一步,那就要好几天了,甚至一直不处理。我甚至有一次收到前几个月上报的样本的分析结果(10%)
  • 初次分析准确度:A+。分析的精确度非常出色。几乎不存在分析失误的情况。(35%)
  • 可跟踪度:B。除了通知结果的邮件,其他例如已收到样本、分配ticket number的邮件、状态更新的邮件一概木有。也没有平台可以跟踪进度。(5%)
  • 再次分析的可能性:C。不存在的。(0%)

总分:85分。

四、微软
1. 上报方式
  • 微软的威胁情报平台(https://www.microsoft.com/en-us/wdsi/filesubmission)。非常之好用!前提是要有微软账号(不想登入可通过这里上报),不过大多数人应该有。根据提示走,非常容易就可以上报样本。可以上传单个文件,也可以是压缩包,压缩包需要用infected加密。上报后会进行自动扫描,然后会进入分析流程,全程可视化。

2. 评价
  • 上报便捷度:A+。虽然没有邮件上报服务,但提供的上报平台太好用了,非常方便。(25%)
  • 上报成功率:B+。微软的服务器,你当是开玩笑的吗?我没有遇到上报失败的情况,但根据评论区,有人遇到了上报后不处理的情况。也有人遇到上传失败的情况。所以调整为B+。(15%)
  • 平均分析效率:B。最近根据其他人和我自己的体验,效率降低很多了。(10%)
  • 初次分析准确度:B。微软的分级准确度,emmmm,个人感觉一般,尤其是万物皆可Trojan:Win32/Wacatac。而且误报也的确存在。(15%)
  • 可跟踪度:A。完美。从提交到收到结果,全程可追踪。(10%)
  • 再次分析的可能性:A。根据评论区,可以重新提交。(5%)

总分:80分。


五、迈克菲
1. 上报方式
  • 邮箱上报(virus_research@avertlabs.comvirus_research@mcafee.com)。重要:对于病毒样本,主题栏要写“Detection Failure”;对于误报上传,主题要写“FALSE”。对于长时间未处理的样本可以重新发送,并在主题栏加上“NOAUTO”,以直接对接工程师(虽然并没啥用)。样本需要打包成zip文件,并用infected作为密码。同时要修改样本的名称,使总文件路径长度不得超过 125 个字符。例如sample.zip/sample.docx就视为22个字符。不得压缩包内放压缩包或压缩包内放文件夹。文件正文要填写McAfee的引擎版本号和问题描述。总之,挺复杂的。
  • 使用GetSusp工具上传可疑文件。下载后该工具可以扫描系统或指定位置,查找可疑的PE文件并上传。若填写了Email,后续可能会收到回复。

2. 评价
  • 上报便捷度:C+。虽然提供了两种上传方式,但要求还是比较多的。尤其是总文件路径长度不得超过 125 个字符这个规定。GetSusp工具无法上传那些不被它识别为可疑的样本,也无法上传非PE文件样本。(5%)
  • 上报成功率:C+。我只能说,迈克菲邮件上报成功率太低了,成功上报(成功上传的标志是收到McAfee发来的回执)的几率和买彩票差不多。用GetSusp上报成功率会大一点。(5%)
  • 平均分析效率:B。自动分析的样本(Artemis)拉黑速度可以和卡巴、ESET的媲美。但人工分析,应该是要花很长的时间吧,反正我目前还没收到人工分析成功的邮件通知。(10%)
  • 初次分析准确度:C+。基本上不会对新样本做分类。Artemis拉黑速度虽然快,但误报也多啊,而且误报上报困难也很痛苦。(5%)
  • 可跟踪度:C。几乎不存在的。可能对个人用户不在乎吧(卑微。(0%)
  • 再次分析的可能性:C。不存在的。(0%)

总分:25分。


六、比特梵德
1. 上报方式

2. 评价
  • 上报便捷度:A+。提供了两种上报方式,总体没啥特别要注意的地方,比较便捷。(25%)
  • 上报成功率:A。基本上所有走平台的上报都会得到处理。(20%)
  • 平均分析效率:B+。几分钟的急速响应是达不到的,因为我总感觉BD的上报系统人工参与的成分比较大。但基本上一天之内可以解决。(15%)
  • 初次分析准确度:B+。基本上分析还是准确的。但GenericKB杀存在少量误报。(20%)
  • 可跟踪度:C。除了确认收到的邮件以外,不会有结果反馈。(0%)
  • 再次分析的可能性:A。可以直接回复确认函,会有客户支持联系你,并把你的诉求转达给分析团队。(5%)

总分:85分。

七、Avira
1. 上报方式
  • 平台上报(https://www.avira.com/en/analysis/submit)没啥要注意的,一次只能上传五个样本,可以上传zip文件,但不能加密
  • 邮件上报(病毒样本发到  virus@avira.com,误报样本发到novirus@avira.com)。样本用zip压缩,密码为infected。如果样本体积超过上限的话,你甚至可以在邮件里面给出网盘链接,他们也会分析的。

2. 评价
  • 上报便捷度:A+。给了两种上报方式,总体没啥特别要注意的地方,非常便捷。(25%)
  • 上报成功率:A+。印象里没有遇到上报失败的情况(25%)
  • 平均分析效率:A。能被APC识别的样本几分钟就会被拉黑,其他人工分析的样本一般一天内也可以给出结果。(20%)
  • 初次分析准确度:B+。基本上分析还是准确的。但由于过度依赖APC,有些样本会被APC误报。(20%)
  • 可跟踪度:B。除了人工分析有时候不会给你发结果邮件(但有正在处理的邮件),其他情况都会收到结果邮件。(5%)
  • 再次分析的可能性:C。基本上不存在的。(0%)

总分:95分。

八、Avast
1. 上报方式
  • 软件内上报:用过小A的都知道,小A可以软件内上报。具体就不说啦。
  • 平台上报:https://www.avast.com/report-malicious-file.php 尽量单样本上报,压缩文件上报可能就走不了自动分析了。界面很直观,操作也很简单。误报上报会收到结果邮件,而病毒上报不会收到结果邮件。

2. 评价
  • 上报便捷度:A+。给了两种上报方式,总体没啥特别要注意的地方,非常便捷。(25%)
  • 上报成功率:A。印象里走平台上报的样本没有遇到上报失败的情况,而软件内上报不太清楚了。(20%)
  • 平均分析效率:B+。自动分析的样本拉黑速度很快,几分钟的事。而误报样本由于要人工分析,要花费时间长一点,可能要一两天。(15%)
  • 初次分析准确度:B+。万物皆可Malware,基本上没有对样本做细分。会有一些误报的情况(20%)
  • 可跟踪度:B。误报上报会收到结果邮件,而病毒上报不会收到结果邮件。(5%)
  • 再次分析的可能性:A。根据评论,是可以的。(5%)

总分:90分。

九、F-Secure
1. 上报方式

2. 评价
  • 上报便捷度:A。虽然只给了一种上报方式,总体没啥特别要注意的地方,非常便捷。(20%)
  • 上报成功率:A。印象里上报的样本没有遇到上报失败的情况(20%)
  • 平均分析效率:B。虽然F-Secure有云,但我觉得他们的云反应速度没有很快。F-Secure的处理一般都在一两天左右。(10%)
  • 初次分析准确度:B+。由于F-Secure主要是依靠Avira的引擎,F-S自己的病毒分析应该还可以吧,印象不深刻,给个平均值B+好了(20%)
  • 可跟踪度:A。会有很多封邮件!从上报成功到给出结果到让你填问卷。(10%)
  • 再次分析的可能性:A。完全可以,甚至可以收到对方长篇回复。(5%)



总分:85分。

十、大蜘蛛。
1. 上报方式
2. 用的不多,不评价了。


十一、Comodo
1. 上报方式
2. 用的不多,不评价了。


十二、Emsisoft
1. 上报方式
2. 会有专人分析,但至于能力么,参见Emsisoft 薛定谔的病毒检测标准_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

十三、G-Data1. 上报方式
2. 用的不多,不评价了,但我觉得这种OEM其他引擎的杀软优先上报给原厂会比较好,例如用G-Data的用户直接上报给BD。

十四、Malwarebytes
1. 上报方式
2. 没用过,不评价了。

十五、趋势科技
1. 上报方式
2. 没用过,不评价了。

十六、Sophos
1. 上报方式
2. 没用过。。。

十七、Panda
1. 上报方式
2. 没用过。。。


总结一下我评分的9个大厂在样本分析方面的表现(红色的杀软大厂得分是低于平均的)

卡巴斯基
105
Avira
95
Avast
90
F-Secure
85
ESET
85
比特梵德
85
微软
80
诺顿
80
迈克菲
25

虽然评分比较主观,但还是可以看出卡巴和微软在对待安全方面是很认真的。而迈克菲对待样本的态度是很轻忽的,也可能是因为一分价钱一分货吧。
附:英文上报邮件的参考模板,给英文小白参考~
Subject(主题):参考上文,如果厂商需要关键词例如False Negative才能触发分析的话,直接用关键车作为主题即可。不然使用“Malware Samples Submission”(提交漏检样本)或“False Positive Samples Submission”(提交误报样本)作为主题。
正文:
(提交漏检样本)
Hi,

The attached (如果是卡巴要加:false negative) file(s) (password: "infected") is/are likely to be malicious. Please analyze these suspicious files and add the malicious ones to XXX(产品名)'s Virus Definition. Should you have any questions regarding this submission, please do let me know by replying this email.

Thanks.

Regards,
(署名)


(提交误报样本)
Hi,

The attached false positive sample (password: infected) may not be malicious and should be removed from XXX(产品名)'s Virus Definition if it is indeed clean. Should you have any questions regarding this submission, please let me know by replying this email.

Thanks.

Regards,
(署名)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 11分享 +3 人气 +23 收起 理由
驭龙 + 3 精品文章
ANY.LNK + 1 版区有你更精彩: )
辔繇 + 3 感谢提供分享
BBCALL + 1 版区有你更精彩: )
huajiajie + 1 感谢提供分享

查看全部评分

a27573
发表于 2021-7-20 21:03:22 | 显示全部楼层
前段时间给 ESET 反馈(通过论坛和邮件)了那个无法扫描(读取)驱动文件的 rootkit,12 号发了一次,17 号又发了一次,还是没回信
18 号反馈的附加了恶意数据的火绒文件也没回信
anthonyqian
 楼主| 发表于 2021-7-20 21:25:09 | 显示全部楼层
a27573 发表于 2021-7-20 21:03
前段时间给 ESET 反馈(通过论坛和邮件)了那个无法扫描(读取)驱动文件的 rootkit,12 号发了一次,17 号 ...

看起来我要调降ESET上报成功率了。不过也有可能是没被自动机识别吧,eset人工分析真的慢。
a27573
发表于 2021-7-20 21:27:31 | 显示全部楼层
anthonyqian 发表于 2021-7-20 21:25
看起来我要调降ESET上报成功率了。不过也有可能是没被自动机识别吧,eset人工分析真的慢。

这种样本正好是 ESET 的弱项(国产样本,易语言,rootkit),其他倒也还可以接受
henry217
发表于 2021-7-20 21:43:40 | 显示全部楼层
一分价钱一分货

人家微软免费呢

McAfee官网死贵呢
yg19
发表于 2021-7-20 22:35:06 | 显示全部楼层
bd那个用oemsamples@tickets.bitdefender.com这个邮箱也可以成功上报的
ps 昨天才试过

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
anthonyqian + 1 好滴 已更新

查看全部评分

anthonyqian
 楼主| 发表于 2021-7-20 22:47:25 | 显示全部楼层
henry217 发表于 2021-7-20 21:43
人家微软免费呢

McAfee官网死贵呢

McAfee的重点放在了企业界。。。病毒上报企业用户有专门的通道 然而年初还看到McAfee要出售企业界项目,不知道未来咖啡会不会对消费者业务上点心。。。。
henry217
发表于 2021-7-20 22:48:37 | 显示全部楼层
anthonyqian 发表于 2021-7-20 22:47
McAfee的重点放在了企业界。。。病毒上报企业用户有专门的通道 然而年初还看到McAfee要出售企业界 ...

RP这个东西

玄学的一*
LSPD
发表于 2021-7-21 00:24:19 | 显示全部楼层
我这边wd体验不佳,几次上报误报/样本都拖着直到超期
anthonyqian
 楼主| 发表于 2021-7-21 00:50:14 | 显示全部楼层
LSPD 发表于 2021-7-21 00:24
我这边wd体验不佳,几次上报误报/样本都拖着直到超期

真的吗 有的时候你要去查系统,可能系统状态更新了但没发邮件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2021-10-21 06:55 , Processed in 0.146321 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表