查看: 2018|回复: 7
收起左侧

[技术探讨] 请教一个问题。。

[复制链接]
kurakimai
发表于 2022-5-28 09:14:42 | 显示全部楼层 |阅读模式
WD的机器学习,是不是一定要触发ATP才实现?(就是双击)

谢谢。。
maomao110
发表于 2022-5-28 10:07:00 | 显示全部楼层
为了防止电脑被破坏

为了维护软件的和平

贯彻防护与性能的平衡

长期潜水的咸鱼

maomao110

我们是卡饭的安软顾问团队

世界和平在等着我们

就是这样 ……喵……

这个应该是这样的   你说的应该没错
LSPD
发表于 2022-5-28 11:49:25 | 显示全部楼层
扫描监控也有ml
ANY.LNK
发表于 2022-5-29 08:22:47 | 显示全部楼层
不一定,微软的机器学习绝大部分是未公开的,具体内部处理机制、触发机制不明。
但是就通常结果而言,机器学习报毒占比大约是4成左右,对于新样本有相当概率为机器学习报毒。
对于机器学习内部结果而言,我这边统计如下:
本地机器学习报毒:相对较少,下载/解压立即报告威胁
有云端介入的报毒:主要分为以下种
1.解压/下载立即报毒,不触发自动上报-占机器学习报毒的最大部分
2.解压/下载不报毒,扫描报毒-相对较少,但也挺多,在我这里主要发现于体积巨大的样本和极小的样本
3.解压/下载不报毒,手动查看文件(不运行)报毒,不触发自动上报-同样较少,多见于exe、com这样的PE文件
4.解压/下载不报毒,手动查看文件(不运行)先触发自动上报,随后报毒-情况较上一种多,同样多见于exe、com这样的PE文件
5.解压/下载不报毒,双击时运行时报毒,不触发自动上报-在我这边进行过此项测试的样本少,但依据论坛中其他人和我自己的测试来看,应该在双击运行时占比不小,此外,这种报毒常见于样本执行前,部分会在样本运行一段时间后报毒
6.运行报毒,但先触发了自动上报-相较于上一种而言,多见于dll、ocx、xlsx、docx等多种非可自我直接运行文件
7.复合报毒-多见于下载文件时,可同时触发多种类型的报毒,并有可能出现先报毒、再上报样本、再触发新的报毒。多见于小体积压缩文件,无论是否加密

评分

参与人数 3人气 +9 收起 理由
kurakimai + 3
LSPD + 3 感谢解答: )
曲中求 + 3 感谢解答: )

查看全部评分

kurakimai
 楼主| 发表于 2022-5-29 12:03:13 | 显示全部楼层
ANY.LNK 发表于 2022-5-29 08:22
不一定,微软的机器学习绝大部分是未公开的,具体内部处理机制、触发机制不明。
但是就通常结果而言,机器 ...

你说的第五条,我疑惑就在这里。。我在去年测试过。。10个样本,几乎全是运行报毒。。最后把自己也搞残废了。。所以,我也理解另外一个大神MS叫什么龙少的朋友,他说了一句:测试WD,要带上虚拟机。。
lvseqiji
发表于 2022-5-30 15:46:51 | 显示全部楼层
静态动态都会触发,带ml的就是机器学习报毒。
ANY.LNK
发表于 2022-5-31 05:11:09 | 显示全部楼层
kurakimai 发表于 2022-5-29 12:03
你说的第五条,我疑惑就在这里。。我在去年测试过。。10个样本,几乎全是运行报毒。。最后把自己也搞残废 ...

大概是某些动作撞上了机器学习模型所致,但是WD自己的设置相较于其他安全软件更容易被更改或破坏。各项设置以明文存储在注册表中,每个设置项又可以轻易在微软的官方文档中找到。而且可以更改设置的方式也更多。许多恶意软件在执行恶意操作前先一通操作折腾废WD,这些操作如powershell改设置等就算在MDE的控制台里默认也是告警不阻止,需要手动设置,普通用户就更难阻止这些操作了。自带的“篡改保护”只对少数微软认为重要的项目加以保护,还有更多的项目没有纳入保护,例如排除项
kurakimai
 楼主| 发表于 2022-6-2 22:19:05 | 显示全部楼层
ANY.LNK 发表于 2022-5-31 05:11
大概是某些动作撞上了机器学习模型所致,但是WD自己的设置相较于其他安全软件更容易被更改或破坏。各项设 ...

谢谢解答。。不过,综合你的分析。。加上自己的判断。。WD的ML机制大概率在ATP当中。。不然解释不过去。。按照概率来说,ATP的ML机制触发高得多。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:19 , Processed in 0.135985 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表