请教一个问题。。

kurakimai

WD的机器学习，是不是一定要触发ATP才实现？（就是双击）

谢谢。。

maomao110

为了防止电脑被破坏

为了维护软件的和平

贯彻防护与性能的平衡

长期潜水的咸鱼

maomao110

我们是卡饭的安软顾问团队

世界和平在等着我们

就是这样 ……喵……

这个应该是这样的   你说的应该没错

LSPD

扫描监控也有ml

ANY.LNK

不一定，微软的机器学习绝大部分是未公开的，具体内部处理机制、触发机制不明。
但是就通常结果而言，机器学习报毒占比大约是4成左右，对于新样本有相当概率为机器学习报毒。
对于机器学习内部结果而言，我这边统计如下：
本地机器学习报毒：相对较少，下载/解压立即报告威胁
有云端介入的报毒：主要分为以下种
1.解压/下载立即报毒，不触发自动上报-占机器学习报毒的最大部分
2.解压/下载不报毒，扫描报毒-相对较少，但也挺多，在我这里主要发现于体积巨大的样本和极小的样本
3.解压/下载不报毒，手动查看文件（不运行）报毒，不触发自动上报-同样较少，多见于exe、com这样的PE文件
4.解压/下载不报毒，手动查看文件（不运行）先触发自动上报，随后报毒-情况较上一种多，同样多见于exe、com这样的PE文件
5.解压/下载不报毒，双击时运行时报毒，不触发自动上报-在我这边进行过此项测试的样本少，但依据论坛中其他人和我自己的测试来看，应该在双击运行时占比不小，此外，这种报毒常见于样本执行前，部分会在样本运行一段时间后报毒
6.运行报毒，但先触发了自动上报-相较于上一种而言，多见于dll、ocx、xlsx、docx等多种非可自我直接运行文件
7.复合报毒-多见于下载文件时，可同时触发多种类型的报毒，并有可能出现先报毒、再上报样本、再触发新的报毒。多见于小体积压缩文件，无论是否加密

kurakimai

ANY.LNK 发表于 2022-5-29 08:22
不一定，微软的机器学习绝大部分是未公开的，具体内部处理机制、触发机制不明。
但是就通常结果而言，机器 ...

你说的第五条，我疑惑就在这里。。我在去年测试过。。10个样本，几乎全是运行报毒。。最后把自己也搞残废了。。所以，我也理解另外一个大神MS叫什么龙少的朋友，他说了一句：测试WD，要带上虚拟机。。

lvseqiji

静态动态都会触发，带ml的就是机器学习报毒。

ANY.LNK

kurakimai 发表于 2022-5-29 12:03
你说的第五条，我疑惑就在这里。。我在去年测试过。。10个样本，几乎全是运行报毒。。最后把自己也搞残废 ...

大概是某些动作撞上了机器学习模型所致，但是WD自己的设置相较于其他安全软件更容易被更改或破坏。各项设置以明文存储在注册表中，每个设置项又可以轻易在微软的官方文档中找到。而且可以更改设置的方式也更多。许多恶意软件在执行恶意操作前先一通操作折腾废WD，这些操作如powershell改设置等就算在MDE的控制台里默认也是告警不阻止，需要手动设置，普通用户就更难阻止这些操作了。自带的“篡改保护”只对少数微软认为重要的项目加以保护，还有更多的项目没有纳入保护，例如排除项

kurakimai

ANY.LNK 发表于 2022-5-31 05:11
大概是某些动作撞上了机器学习模型所致，但是WD自己的设置相较于其他安全软件更容易被更改或破坏。各项设 ...

谢谢解答。。不过，综合你的分析。。加上自己的判断。。WD的ML机制大概率在ATP当中。。不然解释不过去。。按照概率来说，ATP的ML机制触发高得多。。