查看: 3642|回复: 16
收起左侧

[求助] 关于BD扫描和实时监控的问题探讨

[复制链接]
僵尸爱上猫
发表于 2024-4-6 21:28:43 | 显示全部楼层 |阅读模式
最近在试用BD,发现存在扫描无问题,双击报毒(入库和启发报法)的情况,不知道是否是设置的原因?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Desmond96
发表于 2024-4-7 01:35:54 | 显示全部楼层
假如入库了扫描不到基本是bug,就好像一些驱动文件入库了怎样右键扫描都扫不出来。用了10年BD,习惯了
kim545
发表于 2024-4-7 11:28:36 | 显示全部楼层
应该不是设置问题,单纯的是机制问题,双击时调用的云和本地的组件更多,可能是为了性能考虑的
僵尸爱上猫
 楼主| 发表于 2024-4-7 12:53:24 | 显示全部楼层
Desmond96 发表于 2024-4-7 01:35
假如入库了扫描不到基本是bug,就好像一些驱动文件入库了怎样右键扫描都扫不出来。用了10年BD,习惯了

好么,还有这种bug
僵尸爱上猫
 楼主| 发表于 2024-4-7 12:54:00 | 显示全部楼层
kim545 发表于 2024-4-7 11:28
应该不是设置问题,单纯的是机制问题,双击时调用的云和本地的组件更多,可能是为了性能考虑的

但双击报扫描不报,总觉得逻辑有点怪
企稳向好
发表于 2024-4-7 13:57:54 | 显示全部楼层
3楼说的是对的,作为最后的兜底,双击触发的检测机制(最高优先级云拉黑、动态启发、深度解包、内存特征、命令行分析、ATC等)是最多的。

此外有一种可能是BD的缓存问题。为了优化性能,BD的监控(扫描)会产生缓存,对于近期扫描过的文件会直接跳过。但是双击的缓存机制可能不同。

举个例子,解压样本包,得到一个样本A,这时候正常来说监控会马上先初步扫描一下A,受限于解包深度和云优先级,可能监控没发现问题。但是手动扫描会报A为恶意软件。

但是如果这个样本确实没入库,云端也没拉黑,也就是扫描也没问题,则可能会产生一个缓存,使得BD在一段时间内不再扫描此文件。

现在问题来了,如果这时候BD更新了特征库,加入了A的特征,但缓存没到期,则监控、手动扫描仍会跳过A,导致不会检出。不过BD为了防止真的漏毒,会在你执行A时重新扫描,这时候可能就会弹窗报毒禁止访问。

这个缓存机制具体工作情况不太清楚,理论上你关掉了”仅扫描新的和修改过的档案“应该会调整这个机制,但是否真的完全关闭了就不好说。

可以具体测试一下:找一个含有大量文件(最好含有多层打包程序)的文件夹,先扫描一遍。扫描完成后过一会再重新扫描,观察BD扫描速度和进程占用,如果迅速扫描完成且占用很低,则可能缓存仍在生效。

评分

参与人数 2人气 +4 收起 理由
僵尸爱上猫 + 3 感谢解答: )
天狐狐狐 + 1 感谢支持,欢迎常来: )

查看全部评分

僵尸爱上猫
 楼主| 发表于 2024-4-7 21:07:17 | 显示全部楼层
企稳向好 发表于 2024-4-7 13:57
3楼说的是对的,作为最后的兜底,双击触发的检测机制(最高优先级云拉黑、动态启发、深度解包、内存特征、 ...

解释的细致,明白了,不知道BD有没有机制介绍的白皮书
allentong
发表于 2024-4-13 03:55:12 | 显示全部楼层
我在2021年左右就发现了这个问题。具体还是扫描和运行这两个机制不太一样。而且很多木马双击运行几秒钟后,他的恶意行为或者联网被BD禁止,相当于木马还在运行但是已经无害了。还有时候病毒双击运行直到出现衍生物才会触发BD的报毒,再之后连病毒本体也被杀了。只能说BD很神奇,防御机制并不是单纯的扫描器,防御手段很多。
kim545
发表于 2024-4-13 14:25:35 | 显示全部楼层
有多层机学引擎各种模型和神经网络之类的,之前的部分介绍https://bbs.kafan.cn/thread-2151987-1-1.html
僵尸爱上猫
 楼主| 发表于 2024-4-14 18:35:26 | 显示全部楼层
allentong 发表于 2024-4-13 03:55
我在2021年左右就发现了这个问题。具体还是扫描和运行这两个机制不太一样。而且很多木马双击运行几秒钟后, ...

在使用过程中,有时BD会提示阻断恶意连接,感觉有点类似norton的IDS
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 00:47 , Processed in 0.170742 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表