云查杀系列工具之一: 客户端 CloudScanner

显示全部楼层 · 发表于 2011-3-31 18:13:06

对VT返回结果的初步优化策略：
1、初始化所有引擎的信誉度评估值为1.0；
2、扫描正常文件样本集；
3、调整误报引擎的信誉度评估值=原始值*0.5；
4、一次优化只调整一次误报引擎信誉度评估值；

优化后，对未知样本的判定结果为sum(“引擎信誉度评估值")>1？“病毒”：“正常文件”；

如果按一个误报文件调整一次引擎信誉度评估值的话，连McAfee的引擎信誉度评估值都会调整到极低。

所以所有的优化策略其实都要考虑市场因素。

显示全部楼层 · 发表于 2011-3-31 18:13:54

初始引擎信誉度评估值：
AhnLab-V3,1
AntiVir,1
Antiy-AVL,1
Avast,1
Avast5,1
AVG,1
BitDefender,1
CAT-QuickHeal,1
ClamAV,1
Commtouch,1
Comodo,1
DrWeb,1
Emsisoft,1
eSafe,1
eTrust-Vet,1
F-Prot,1
F-Secure,1
Fortinet,1
GData,1
Ikarus,1
Jiangmin,1
K7AntiVirus,1
Kaspersky,1
McAfee,1
McAfee-GW-Edition,1
Microsoft,1
NOD32,1
Norman,1
nProtect,1
Panda,1
PCTools,1
Prevx,1
Rising,1
Sophos,1
SUPERAntiSpyware,1
Symantec,1
TheHacker,1
TrendMicro,1
TrendMicro-HouseCall,1
VBA32,1
VIPRE,1
ViRobot,1
VirusBuster,1

一次优化后引擎信誉度评估值：
AhnLab-V3,1
AntiVir,1
Antiy-AVL,0.5
Avast,1
Avast5,1
AVG,1
BitDefender,1
CAT-QuickHeal,1
ClamAV,1
Commtouch,1
Comodo,1
DrWeb,1
Emsisoft,1
eSafe,0.5
eTrust-Vet,1
F-Prot,1
F-Secure,1
Fortinet,1
GData,1
Ikarus,1
Jiangmin,1
K7AntiVirus,1
Kaspersky,1
McAfee,1
McAfee-GW-Edition,0.5
Microsoft,1
NOD32,1
Norman,1
nProtect,1
Panda,1
PCTools,1
Prevx,1
Rising,1
Sophos,1
SUPERAntiSpyware,0.5
Symantec,1
TheHacker,1
TrendMicro,1
TrendMicro-HouseCall,1
VBA32,1
VIPRE,1
ViRobot,1
VirusBuster,1

显示全部楼层 · 发表于 2011-3-31 18:15:04

留意其中变化值为：
Antiy-AVL,0.5
eSafe,0.5
McAfee-GW-Edition,0.5
SUPERAntiSpyware,0.5

显示全部楼层 · 发表于 2011-3-31 18:22:14

无信誉度评估扫描结果：
E:\Program\CloudScanner_2.0\bin\Debug>CloudScanner.exe -p -v -d e:\test
e:\test\hh.exe，发现病毒 Win32.Banker，扫描用时4秒。
e:\test\notepad.exe，发现病毒Win32.Banker，扫描用时5秒。
e:\test\user32.dll，发现病毒 Trojan/Win32.Patched.gen，扫描用时5秒。

查杀工具结合了引擎信誉度评估后，不再报毒：
E:\Program\CloudScanner_2.0\bin\Debug>CloudScanner.exe -p -v -d e:\test
e:\test\hh.exe，正常文件，扫描用时5秒。
e:\test\notepad.exe，正常文件，扫描用时4秒。
e:\test\user32.dll，正常文件，扫描用时5秒。

显示全部楼层 · 发表于 2011-3-31 18:26:11

绿太狼发表于 2011-3-26 21:01
回复 15楼单身熟男的帖子

Beta2发布，已修复已知问题

期待绿太狼同学的GUI版本能同步跟进。

显示全部楼层 · 发表于 2011-4-1 12:07:30

不实用

显示全部楼层 · 发表于 2011-4-1 12:50:15

dos的界面啊

显示全部楼层 · 发表于 2011-4-1 20:44:04

本帖最后由 andylau 于 2011-4-1 20:45 编辑

nkspark 发表于 2011-3-31 18:26
期待绿太狼同学的GUI版本能同步跟进。

哥在等你的新命令行版

为了避免误杀，建议删除前先备份有关文件

显示全部楼层 · 发表于 2011-4-1 22:04:32

win7打不开……

显示全部楼层 · 发表于 2011-4-2 12:55:06

本帖最后由 nkspark 于 2011-4-2 13:34 编辑

关于误报问题, 应该给以足够重视．但从反馈＂[建议意见] 建议本版增加误报测试内容＂http://bbs.kafan.cn/thread-948687-1-1.html看，很多同学对误报问题认识不深．

[技术原创] 云查杀系列工具之一: 客户端 CloudScanner