关于BD扫描和实时监控的问题探讨

僵尸爱上猫

最近在试用BD，发现存在扫描无问题，双击报毒（入库和启发报法）的情况，不知道是否是设置的原因？

Desmond96

假如入库了扫描不到基本是bug,就好像一些驱动文件入库了怎样右键扫描都扫不出来。用了10年BD，习惯了

kim545

应该不是设置问题，单纯的是机制问题，双击时调用的云和本地的组件更多，可能是为了性能考虑的

僵尸爱上猫

Desmond96 发表于 2024-4-7 01:35
假如入库了扫描不到基本是bug,就好像一些驱动文件入库了怎样右键扫描都扫不出来。用了10年BD，习惯了

好么，还有这种bug

僵尸爱上猫

kim545 发表于 2024-4-7 11:28
应该不是设置问题，单纯的是机制问题，双击时调用的云和本地的组件更多，可能是为了性能考虑的

但双击报扫描不报，总觉得逻辑有点怪

企稳向好

3楼说的是对的，作为最后的兜底，双击触发的检测机制（最高优先级云拉黑、动态启发、深度解包、内存特征、命令行分析、ATC等）是最多的。

此外有一种可能是BD的缓存问题。为了优化性能，BD的监控（扫描）会产生缓存，对于近期扫描过的文件会直接跳过。但是双击的缓存机制可能不同。

举个例子，解压样本包，得到一个样本A，这时候正常来说监控会马上先初步扫描一下A，受限于解包深度和云优先级，可能监控没发现问题。但是手动扫描会报A为恶意软件。

但是如果这个样本确实没入库，云端也没拉黑，也就是扫描也没问题，则可能会产生一个缓存，使得BD在一段时间内不再扫描此文件。

现在问题来了，如果这时候BD更新了特征库，加入了A的特征，但缓存没到期，则监控、手动扫描仍会跳过A，导致不会检出。不过BD为了防止真的漏毒，会在你执行A时重新扫描，这时候可能就会弹窗报毒禁止访问。

这个缓存机制具体工作情况不太清楚，理论上你关掉了”仅扫描新的和修改过的档案“应该会调整这个机制，但是否真的完全关闭了就不好说。

可以具体测试一下：找一个含有大量文件（最好含有多层打包程序）的文件夹，先扫描一遍。扫描完成后过一会再重新扫描，观察BD扫描速度和进程占用，如果迅速扫描完成且占用很低，则可能缓存仍在生效。

僵尸爱上猫

企稳向好 发表于 2024-4-7 13:57
3楼说的是对的，作为最后的兜底，双击触发的检测机制（最高优先级云拉黑、动态启发、深度解包、内存特征、 ...

解释的细致，明白了，不知道BD有没有机制介绍的白皮书

allentong

我在2021年左右就发现了这个问题。具体还是扫描和运行这两个机制不太一样。而且很多木马双击运行几秒钟后，他的恶意行为或者联网被BD禁止，相当于木马还在运行但是已经无害了。还有时候病毒双击运行直到出现衍生物才会触发BD的报毒，再之后连病毒本体也被杀了。只能说BD很神奇，防御机制并不是单纯的扫描器，防御手段很多。

kim545

有多层机学引擎各种模型和神经网络之类的，之前的部分介绍https://bbs.kafan.cn/thread-2151987-1-1.html

僵尸爱上猫

allentong 发表于 2024-4-13 03:55
我在2021年左右就发现了这个问题。具体还是扫描和运行这两个机制不太一样。而且很多木马双击运行几秒钟后， ...

在使用过程中，有时BD会提示阻断恶意连接，感觉有点类似norton的IDS