关于“极安全反病毒测试组”测试事件调查处理帖

赵姐123

東雪蓮Official 发表于 2024-4-18 13:32
补充证据

FSP的测试结果异常 由于存在大量多层压缩包与压缩包内嵌套灰色文件 非公平公正

利益相关：极安全测试组常驻成员
补充证据：

由于存在大量多层压缩包与压缩包内嵌套灰色文件

关于FSP无法清理压塑包文件的问题，我方在第二期测试评论区内已进行指出。
黑标停测三期后，我方也未对FSP进行复测，11月第二次测试也未对FSP进行测试，23年测试报告发布后，我方才对FSP恢复测试

神龟Turmi

补充证据：
极安全23.11.10测试261号样本


原始扩展名为.unknown

查看压缩前后大小可知，该文件几乎不可被压缩
故为图片/视频等已被压缩编码的媒体文件概率较大

查看文件header可知，该文件为JFIF（即JPG）图片

使用winhex查看可知，该图片文件几乎不可能被隐写了PE内容
如果没有隐写内容，那么如果它可以被用于恶意用途，则恶意内容应被以像素形式在图片中可见
由于卡饭附件服务器在境内，截图经过处理，请从境外网盘自行获得样本查看
有没有像素形式的恶意内容呢？答案是否定的
从VirusTotal结果可知，已经过去5个月之久，除Bitdefender系以外无一报毒
Bitdefender给出一个高度契合自动机的报法，至今未做修改，故极有可能为自动机处理黑文件时一起处理了白文件而产生的错误拉黑

swizzer

针对对我的驳斥做点回应吧。

某杀毒软件的误报率，有以下观察。首先，有证据显示某杀毒曾经误杀且目前依然在误杀系统文件，证明其误报抑制机制存在严重的问题。其次，据了解，某杀毒也采用了基于扩展名的查杀策略。


附上某杀毒误杀系统文件的证据：

提供的截图，显示的版本日期为2023-12-08，较接近测试日期，因此较好地复刻了当时某杀毒的表现。


当事人表示某杀毒误报率在当次测试中表现优异，如果当事人始终不愿意公开样本供人重复实验以证明真实性，那么本楼的结论，反而侧面说明了其测试造假/样本质量低下的事实。

swizzer

补充：well，才发现当事人的意指和我的意指是一致的，上一楼层因为对"倒数第一"的歧义理解，实质上并没有回应任何驳斥...

陈述一个测试组认可的事实也要得到该测试组的质疑，这种近似狂热的自我维护是论坛接受的吗？

学雷锋做人

学雷锋做人 发表于 2024-4-18 19:00
本帖作最终陈述，不再回复

一、对于我摆出的举报证据，极安全“诈骗”组织负责人以用户隐私泄漏谴责为由 ...

本帖反驳无理控诉及补充相关证据

一、有人说“你觉得不合理就别看”，我针对此点驳斥如下：
不合理≠划走即可，对懂的人来说是可以不在乎，但是对不懂的人，尤其是小白来说，这就是一种误导，放在卡饭论坛更是将此进一步扩大化，该帖就是明显的例子。

此贴楼主对测试组进行攻击，且无证据证明“测试项目弄虚作假”说法。

二、前面列举的证据已充分表明极安全组织的三无属性（无资质、无水平、无经验），测试样本参差不齐、人为二次修改样本，测试项目存在弄虚作假的事实，确实是娱乐测评，本人在原帖的回复并无问题，不存在恶意捏造攻击！

wwwab

初心．杰 发表于 2024-4-18 13:48
第二部分 帖内其他回复解释说明：

1、DisaPDB 和 ジ蓅暒划过づ

关于1：

（一）关于Hyper-V影响扫描引擎

事实上，火绒早已确认Hyper-V可能会影响虚拟沙盒引擎了，之前的说法是会使虚拟沙盒引擎进入纯翻译模式，部分引擎功能受限，从而降低该引擎的查杀检出率

在本站内：https://bbs.kafan.cn/thread-2246884-1-1.html



应该使用相同环境进行测试

（二）关于断网联网查杀率的问题

实际上，火绒引擎断网、联网功能没有任何区别。在2019年，官方就曾表示过（https://bbs.huorong.cn/thread-20608-1-1.html），而且目前火绒仍然没有基于hash的云查杀引擎（后续也有可能会有）。



火绒是通过每日更新扫描引擎病毒库的方式来进行扫描引擎规则优化的。
个人版病毒库文件位置（假设C盘为系统盘；如果使用环境变量来表示的话，C:\ProgramData == %ProgramData%）：
C:\ProgramData\Huorong\Sysdiag\virdb\prop.db
C:\ProgramData\Huorong\Sysdiag\virdb\prop???.db
C:\ProgramData\Huorong\Sysdiag\virdb\pset.db
C:\ProgramData\Huorong\Sysdiag\virdb\pset???.db
C:\ProgramData\Huorong\Sysdiag\virdb\troj.db
C:\ProgramData\Huorong\Sysdiag\virdb\troj???.db
C:\ProgramData\Huorong\Sysdiag\virdb\ml.db (6.0新增的高级启发式引擎)
以及安装目录下的
libvxf.tdl
libvxf.vdl
libvxf.dat
libvxf.vds
(扫描引擎虚拟机)
这些在更新程序和更新日志中都有所体现

甚至在一次测试中，火绒的断网查杀率高于联网查杀率（https://bbs.kafan.cn/thread-2265541-1-1.html）



实在不理解为什么会认为是由于网络原因影响了查杀率，如果真是如此，那也应当是联网查杀率高于断网查杀率，这怎么什么都归结于网络原因。。

多次静态扫描查杀率不一致的情况，以下是我遇到过的情况：

• 第一种，环境导致虚拟行为沙盒工作不正常，例如开启Hyper-V
  

在样本区应该也遇到过，例如：
https://bbs.kafan.cn/thread-2250807-1-1.html
https://bbs.kafan.cn/thread-2256240-1-1.html
等

• 第二种，火绒的程序Bug
  

例如我之前发现的一个疑似解包问题：

• 第三种，混装防病毒软件组合的环境下
  

当然，可能还会有别的情况

（三）关于测试时遇到此类情况后处理方式的问题

测试时遇到此类情况之后，测试团队未能挑出出现问题的样本并单独保留，未能保留测试软件的原始安全日志，未能提供相关样本在检出的计算机上的报毒名，未能说明相关样本的文件类型，未在文章中进行说明，未能证实一款纯本地的防病毒软件扫描结果的偏差与网络连通状况之间存在联系。测试团队无法提供相关样本，无法提供样本hash。测试成员无权限提供样本。

wwwab

wwwab 发表于 2024-4-19 19:32
关于1：

（一）关于Hyper-V影响扫描引擎

抱歉，此处帖子链接提供有误：



应该是这个：

https://bbs.huorong.cn/thread-53105-1-1.html

wwwab

补充：

2024年2月18日，一位用户名为"yechenglin"的会员在样本区发布了一个名为《微步近期样本扫描测试》的帖子，导致大量引战内容，其中对测试也提出了较高的要求。



而后"yechenglin"被处理，并被管理员认定为是测试团队成员的马甲账号（https://bbs.kafan.cn/thread-2266187-1-1.html）



如果相关情况属实，该帖内要求提供「病毒库版本及日期」+「扫描完成时间」+「日志或截图」等，对于测试团队是否有相关要求？

据我所知，在测试团队发布的文章中，从未标明病毒库版本号或病毒库日期，从未标明扫描时间，且无扫描安全日志可提供
即使是在该帖子中提供的范例——「诺顿」，在测试团队实际发布的文章中也从未标明病毒库版本与日期



如果相关情况属实的话，对于测试团队所表示的

不过我个人是没有什么兴趣从2000个里面找到是那个样本导致的差异。团队的其他成员我不知道有没有这么热心的。

而在样本区发表的帖子中却直接提出了与测试团队内相比较而言更高的测试要求，不知是何意？测试的情况和要求还不如样本区？
当然，如果贵方测试团队认为管理员的相关处罚情况并不属实，可以提出。

神龟Turmi

神龟Turmi 发表于 2024-4-19 16:34
补充证据：
极安全23.11.10测试261号样本
本证据中的样本在请示督查后按照要求仅发布境外网盘，并且将在 ...

由于投诉区不可编辑
补充：BD已解除误报

DisaPDB

关于本帖36楼提到的帖子做一些补充：
楼主（如果真是该组织负责人）提到样本来自于“微步云沙箱”，并且筛选依据是微步云判定为恶意的样本。
但是微步云沙箱判定的一个很大依据来自于他们自带的误报非常高的OneStatic/OneAV引擎，如果沙箱没有明显没有行为但这两个引擎依然报毒，结果也会显示为“恶意”。
另外，如果微步云沙箱检测到任何形式（包括ping）的网络连接到他们标记为恶意的网址/URL/C&C，那么即使完全没有恶意行为也会判定恶意。
如果就是根据沙箱的Tag筛选样本的话，其样本质量可以保证吗？