个人总结的Dr.web大蜘蛛杀毒软件对不同类型样本入库效率的粗浅认知，欢迎参与讨论

pyic

Dr.web大蜘蛛是一款俄罗斯的著名杀毒软件，本人断断续续使用了该软件3年之久，在使用过程中也通过官方样本上报页面（https://vms.drweb.com/sendvirus?lng=en）上报过若干病毒样本，通过对不同类型的样本从不能查杀上报官方到入库可以查杀官方处理效率方面积累了一些粗浅的认知，特开此帖讨论，如有错误，欢迎各位饭友不吝赐教



入库样本处理时间从短到长大致分为六组（8小时以内，48小时以内，7天以内，30天以内，30天以上具体时间不定，不可处理）



一、大规模破坏类，例如Bootkit磁盘引导区常驻型、Rootkit操作系统常驻型、KillMBR主引导记录破坏型、KillDisk分区表破坏型、Killfiles磁盘数据破坏型、Encoder加密勒索型


入库时间，样本大小<=（小于等于）100M，入库时间8小时以内；样本大小>(大于）100M<=（小于等于）250M，入库时间48小时以内，>（大于）250M，无法上报，上报时页面会中途出错，显示The File is too Large，不可处理



二、商业牟利类（例如下载器类Downloader、木马释放器类MulDrop、知名后门灰鸽子Pigeon、黑洞Blackhole，大规模非感染流行类Siggen、流行感染类，Whboy，Ramnit，Autoruner等等）


入库时间，样本大小<=（小于等于）50M，入库时间8小时以内；样本大小>(大于）50M<=（小于等于）100M，入库时间48小时以内，样本大小>(大于）100M<=（小于等于）150M，入库时间7天以内，样本大小>(大于）150M<=（小于等于）250M，入库时间30天以内，>（大于）250M，无法上报，上报时页面会中途出错，显示The File is too Large，不可处理



三、个人窃密类（例如网银窃密Banker、网游克星Wsgame、佳美尼亚Gamania、魔兽世界盗号WoW）

入库时间，样本大小<=（小于等于）50M，入库时间48小时以内；样本大小>(大于）50M<=（小于等于）100M，入库时间7天以内，样本大小>(大于）100M<=（小于等于）150M，入库时间30天以内，样本大小>(大于）150M<=（小于等于）250M，入库时间30天以上，>（大于）250M，无法上报，上报时页面会中途出错，显示The File is too Large，不可处理



四、进程注入器Inject、进程截杀器Killproc，安卓木马

入库时间，样本大小<=（小于等于）50M，入库时间48小时以内；样本大小>(大于）50M<=（小于等于）100M，入库时间7天以内，样本大小>(大于）100M<=（小于等于）150M，入库时间30天以内，样本大小>(大于）150M<=（小于等于）250M，入库时间30天以上，>（大于）250M，无法上报，上报时页面会中途出错，显示The File is too Large，不可处理



五、商业推广类，例如页面广告Adware，潜在有害Unwanted，弹窗骚扰Popalert


入库时间，样本大小<=（小于等于）50M，入库时间7天以内；样本大小>(大于）50M<=（小于等于）100M，入库时间30天以内，样本大小>(大于）100M<=（小于等于）250M，入库时间30天以上，>（大于）250M，无法上报，上报时页面会中途出错，显示The File is too Large，不可处理



六、其他类，例如玩笑程序Joke，黑客工具Tool


样本大小<=（小于等于）150M，入库时间30天以内，样本大小>(大于）150M<=（小于等于）250M，入库时间30天以上，>（大于）250M，无法上报，上报时页面会中途出错，显示The File is too Large，不可处理



总结，样本破坏性越大，入库时间越短，样本越流行，入库时间越短，样本体积越小，入库时间越短

Rukia

他们一般是限制50MB
可以提供链接来上报（网络云盘，virustotal)
也可以通过工单（限制250）（还能索要FTP链接）一般是24小时内

Loyisa

与此同时 我上报的某个能绕大蜘蛛注入检测的样本已经八个月没有动静了

pyic

Loyisa 发表于 2025-12-14 16:24
与此同时 我上报的某个能绕大蜘蛛注入检测的样本已经八个月没有动静了

通过客服给你的回复表明该公司反病毒工程师不仅仅满足对单一样本的入库查杀而是想要通过引擎整体改进实现对此类样本家族的通杀

aikafans

pyic 发表于 2025-12-14 16:30
通过客服给你的回复表明该公司反病毒工程师不仅仅满足对单一样本的入库查杀而是想要通过引擎整体 ...

这个结论有点想笑

pyic

aikafans 发表于 2025-12-14 17:45
这个结论有点想笑

想笑的原因是觉得该公司的反病毒工程师对待问题精益求精还是解决问题效率低下

wwwab

你会填Your Dr.Web serial number嘛

pyic

wwwab 发表于 2025-12-14 18:32
你会填Your Dr.Web serial number嘛

会填，48小时内可以处理的样本，填写序列号和不填序列号差别不大，也就是隔天的问题（填写序列号的情况下会比不填写的情况下优先十几个小时进行分析），超过150M以上的大体积样本即便填了序列号，官方仍然会磨磨唧唧有时候半个月才给入库

aikafans

pyic 发表于 2025-12-14 18:02
想笑的原因是觉得该公司的反病毒工程师对待问题精益求精还是解决问题效率低下

我打个比方：
流感高发季，以经有人告诉某D（大蜘蛛）现在流行毒株，然后你打个疫苗就不怕了，然后D说，没事儿，我想通过锻炼身体来提升免疫力，实现一劳永逸。
但是，貌似打疫苗（根据上报样本更新病毒库加上特征）跟锻炼身体（引擎改进实现通杀）并不矛盾吧

pyic

aikafans 发表于 2025-12-14 22:06
我打个比方：
流感高发季，以经有人告诉某D（大蜘蛛）现在流行毒株，然后你打个疫苗就不怕了，然后D说， ...

你的想法站在用户的角度思考很对，但是很有可能在大蜘蛛的研发人员看来自己一手打造的以启发式著称的工具主打的就是一个病毒库精简高效，每添加一条病毒特征固然可以提高查杀率，但同时也会增加误报的机率，例如添加一条下载器病毒特征（某个病毒作者利用知名下载工具例如迅雷的组件漏洞将其捆绑在恶意工具包内在后台进行偷渡式下载），这时如果片面追求入库速度，特征提取不精准，就会将用户安装的存在漏洞的迅雷组件也误报成病毒，查杀后会造成迅雷下载功能异常，再比如说打了流感疫苗，身体仍然出现发烧现象（身体感染了乙脑病毒，流感疫苗对乙脑病毒无效），流感疫苗此时起不到任何解除病毒的作用，而通过技术迭代升级提高引擎的精准识别能力（就像你所说的通过锻炼提高机体的免疫力）就可以达到同时获得流感和乙脑两种病毒变异株的免疫力。这种研发思路不能简单用对错来进行评判，只能说明用户和反病毒厂商研发人员解决问题的方式方法存在很大差异