对贝壳木马专杀的疑问，及由此引出的对云安全的思考

bbcallen

回复 49# jefffire

重分析加去误报吧。

jefffire

回复 50# gxczlzz


    画圈圈诅咒。。。

jefffire

回复 51# bbcallen


    我觉得重分析可能性不大，每天这么多样本，人工重分析？？来得及么？？   误报可能性也不大，根据你的结果还有13个样本不认为是恶意软件，难道卡饭的包里有这么多的clean文件？？

gxczlzz

回复 53# jefffire
那怎么3天差那么多
PS:我的样本呢

bbcallen

回复 53# jefffire

重分析不一定要人工分析，比如第二天的服务端分析数据和客户端数据，都可以对头一天的分析形成一个负反馈。
   
随便拿了一个贝壳不报的文件去vt查了一下，虽然报毒的很多，不过结果很暧昧
http://www.virustotal.com/analis ... c3080738-1270530025

都是 Heuristic， lookslike,  Generic
我也不知道这个是干嘛的。



要是vt有批量的hash查询就好了




找技术人员要了点数据，发现这批样本中还有一个是贝壳手工去过误报的。

jefffire

回复 54# gxczlzz


    已pm。

  不排除这样一种可能，某些样本比较新，传播范围又很广，具有典型的木马传播特征，所以就重点人工分析了。

jefffire

回复  jefffire

第二天的服务端分析数据和客户端数据，都可以对头一天的分析形成一个负反馈。
bbcallen 发表于 2010-4-9 19:53

    怎讲？？

bbcallen

比如，第二天根据某个重点病毒样本，加入一条分析规则，那么这个分析规则，可能会改变头一天，甚至头一个星期很多文件的分析结果。

jefffire

回复 58# bbcallen


    恩，可能性很高，不过这样一来对样本分析结果的不可靠性就大大增加了。其实我觉得，对文件分布情况的分析也是个好方法，比如某些新出现的，并且在客户端散布的很快的文件，并且没有信任厂商的数字签名的文件，极有可能是病毒，可以给予重点分析

bbcallen

不可靠指什么?