无事儿探讨隔离区上报的意义

寒山竹语

  众所周知，在很多安软中都有这样一个选项，大致意思就是把此安软隔离的文件传送至此安软的实验室去分析的一种功能，我们姑且叫他做“隔离区上报”。
  如果要牵强到云安全上，这应该也是一种云安全之下的表现吧，下面来分析一下这种机制的可取不可取之处。
  一个真正的病毒文件被隔离了，马上发送数据至安全实验室去分析，分析的结果肯定是有毒文件，之后实验室会下一步做出什么反应呢？是增强此病毒文件的解码？之后再反馈更新到用户端。还是置之不理？
  个人认为，隔离区的有毒文件发送到实验室，分析应该肯定会分析的，但一旦确认是有毒文件，应该不会加强什么病毒解码之类的下一步操作，因为既然之前能隔离，就证明此安软已经可以查杀这种病毒。用户机并无大碍。所以传送只是一个过程而已。
  会置之不理吗？不会，个人认为还有以下一点证明不会。
  一个正常的文件被判定为病毒而进了隔离区，之后的流程还是传送---分析---反馈。这样呢，正常的误报会通过用户传送---分析---反馈而解决误报。那么安软的实验室会真的那么迅速的解除误报吗？这是一个时间的问题，前面有毒的隔离文件反馈时间长短很多时候意义并不大，而后面的意义却非常重大。
  经过以上两点分析，大致可看出这个小功能的实用之处，那么这种功能是好是坏呢？个人认为，隔离区上报主要是解决误报问题，而有的厂商有这个功能，但误报解除时间依然过长。与其用户被动的接受实验室的审查，不如安软方主动的去改善误报。误报率降到一个标准，那么，这个小功能离寿终正寝不远了。

PS：忽然发现口不对唇，码字也码不出激情，码不出文采了。本作文只是偶尔看到一款新出安软截图后的遐想罢了。发现他也在老，而我，真的老矣。。。

洒家谈谈

众所周知，在很多安软中都有这样一个选项，大致意思就是把此安软隔离的文件传送至此安软的实验室去分析的 ...
不一定 发表于 2010.8.14 18:15

斑竹说的很好。
个人觉得有些文件可能是同时携带多个病毒代码，杀毒软件未必都能查到，发送到实验室后技术人员会分析样本，提取杀软不能查杀的病毒代码，加入下一次的更新当中。
而且杀毒软件能查杀，但未必就能清毒，很多病毒都是报Heur，隔离区上报后实验室就能测试病毒，将启发出的病毒代码及时加入特征库，并制定相应的清毒流程。

jason_jiang

熊猫的隔离区只上报启发出的样本
avast和BD貌似是启发和特征都上报

寒山竹语

斑竹说的很好。
个人觉得有些文件可能是同时携带多个病毒代码，杀毒软体未必都能查到，发送到实验 ...
洒家谈谈 发表于 2010.8.14 18:25

嗯，这也是我要表达的，与其用户被动的接受，不如厂商主动的改善。
可谓利弊并存。总之，个人不看好这个功能。甚至很多时候，个人武断的以此来判断安软的实力。

悠柚

有些囧的隔离区不能手动添加文件，这才麻烦

众所周知，在很多安软中都有这样一个选项，大致意思就是把此安软隔离的文件传送至此安软的实验室去分析的 ...
不一定 发表于 2010.8.14 18:15

楼主对特征码的理解还远远不够。。。不会进一步处理？你太看不起特征码了

寒山竹语

回复 6楼 sololp  的帖子

愿闻高见，话说这块比较模糊。就是本着学习的态度开帖讨论的。
   

回复 7楼 不一定  的帖子


    多综合症下就明白杀软的真谛了

寒山竹语

回复


    多综合症下就明白杀软的真谛了
sololp 发表于 2010.8.14 19:39

我的周期太慢，综合一次、综合一个至少一年以上。所以进度较慢。哈哈。谢谢你。