网易首页 > 网易号 > 正文 申请入驻

跟大家探讨:该如何处理“网友投递病毒样本包”

0
分享至

一直以来,火绒时常会收到热心网友“投递”的病毒样本包,也经常被各种“论坛测试”,不管成绩好坏,被肯定还是被质疑,我们都发自内心地感谢大家,对火绒的关注和重视,就是对我们最大的支持。

我们当然重视这些样本包的处理,但是在样本处理优先级、处理和判定策略上,我们有自己的原则和坚持。因为我们发现,有些事情偏离了杀毒本质,不是以帮用户解决问题为目标,而是在忽悠和迎合大家。

我们以近期收到的两个样本包为例,跟大家探讨。这两个样本包来自4月26日和5月1日的卡饭论坛(https://bbs.kafan.cn/thread-2148105-1-1.html, https://bbs.kafan.cn/thread-2148497-1-1.html)。

一、病毒样本包检测、分析结果

经过检测分析,该批样本情况如下:

1、白样本占据近一半

这两个样本包中,有54%是病毒样本,46%是各类白样本,其中无恶意代码的激活工具和易语言程序共占样本总数的35%,另外11%则是正常软件安装包或组件等。

2、加保护壳被误报严重

两个样本包中还有一部分被强壳保护的PE文件,约占白文件的30%,占样本总量的14%,如下图所示:

3、病毒样本感染量极小

占总量54%的病毒样本,虽然具有恶意行为或病毒代码,但是通过“火绒威胁情报系统”一段时间的追踪,我们发现绝大多数病毒在火绒覆盖的终端上未出现过感染情况,且不存在家族性关联。此类病毒样本虽然存在病毒行为或恶意代码,但是由于地域性等因素导致这些病毒与国内真实环境中、正在感染用户的病毒样本相差甚远——用户基本遇不到。

二、各厂家检测结果分析

事实上,国内外安全厂商的扫描结果呈现两极分化现象:部分厂商对样本的检测结果“理智”,仅对包含恶意代码的样本报毒;另一部分厂商对样本的检测结果很“疯狂”,完全不考虑误杀,这种情况下,“论坛测试”的查杀率上去了,在用户那的“误杀率”也上去了。

容易被“误杀”的几类白文件:

1、易语言

易语言是国内流行的工具类程序中的一种。由于语言不通,国外安全厂商对易语言恶意代码识别困难,经常对易语言报毒,某些国内厂商“复制”国外厂商报毒结果,同样对易语言报毒,这算是“误报扩散传播”。

我们以近期样本包中的一个易语言游戏辅助类动态库(SHA256:2ea1fb98a4ab5fac26ba7a381ba2157d60f659501e6d7bd04dffdafdf599ff30)为例,大部分报毒的国外安全厂商报毒名不具有任何含义,也就是人们常说的“拉黑”特征,但也有国内安全厂商对报毒结果进行了“复制”,甚至病毒名都直接复制(如:FlyStudio)。VirusTotal报毒结果,如下图所示:

2、激活工具

国外安全厂商对于激活工具类程序,通常以报HackTool(黑客工具)或RiskWare(风险软件)处理。某些国内安全厂商同样跟随、“复制”国外厂商的报毒结果,很多不存在恶意代码的此类程序也被国内安全厂商“拉黑”处理。

以本次样本包中的一个激活工具(SHA256:9c9e289a31910d6e718f60ca1516b0dbd0035249d58edde9195255d5fea26dd3)为例,VirusTotal报毒结果,如下图所示:

这个没有恶意行为的激活工具,VirusTotal中共有47家厂商报毒,其中不乏国内安全厂商。

3、强壳白文件

对于加了强壳的文件,国外安全厂商常常以壳授权信息作为判断是否为病毒的依据,事实上这其实是为了避开正面处理“脱壳”问题而做出的无奈选择。在国外正版化水平较高的环境下,这种做法虽然不够“专业”,但也似乎能被用户接受。

而国内充斥着大量破解后的加壳工具。很多正常程序在加了某一版本的强壳后(盗版壳没有正版授权信息),国内安全厂商直接“复制”国外厂商根据授权信息的查杀规则,这根本行不通;国内绝大部分厂商在缺乏脱壳能力时,直接将带壳文件视为病毒。

以本次样本包中一个被VMProtect保护的工具类软件样本(SHA256:94c526892a3d8e762c01ba0a90c9ebd453691c02d04572772487b86042b2cce8)为例,VirusTotal报毒结果,如下图所示:

三、火绒的病毒样本处理策略

一直以来,火绒的理念是“情报驱动安全”——凭借真实、全面、及时的威胁情报来改进技术和产品。通俗地说就是,搞清楚用户真正会遇到哪些威胁,然后对症下药。

我们通过“火绒威胁情报系统”捕获正在感染和攻击用户的威胁代码,追踪这些威胁的来源,力图迅速有效地解决这些真实的问题……简而言之就是,火绒更重视对“活着的”、“正在传播”的病毒的防御和查杀,而不是盲目对所有病毒样本批量“拉黑”。

面对各种来源的海量样本,到底该如何有效地分析处理,这是所有安全厂商都逃不开的话题。任何厂商的时间、精力都是有限的,分析、处理能力也都是有限的。火绒一直在不断尝试和探索,寻找最好的解决方案。

我们的理念和策略可能有人不同意,处理结果可能被误解,但我们不打算改变。同时我们也坚信,上述的直接拉黑和“复制”绝不是出路,而是死路。

为了提高病毒查杀结果的有效性,火绒团队希望将时间和精力用在真实的,解决威胁范围更广、危害更强的病毒问题上,明确地说,我们会优先处理来自“火绒威胁情报系统”中捕捉到的各种威胁程序。

面对其他来源的病毒样本,我们会在对样本聚合处理的基础上优化病毒样本分析、处理的流程,力争提供更为有效的安全服务。当然,在必要的时候,我们也会引入“云”来提高对威胁的响应速度,以及“机器学习”等技术来优化内部自动化分析流程等。

四、火绒关于“投递样本包”、“论坛评测”的处理策略

火绒一直遵循自己的报毒标准,即仅以是否存在恶意行为或恶意代码为唯一报毒依据。我们认为在病毒查杀上,应该“理智”的报毒,从专业的角度给出正确的查杀结果,而不是一味迎合,“营造”高查杀率的欢乐氛围。

因此,对于广大网友投递的样本包,包括论坛评测等,我们力求做到如下几点:

1、 只查杀真病毒

以本次样本包为例,其中存在大量的白样本,我们不会加库查杀,这样只会提高“查杀率”,而给用户带来误杀、降低产品的品质。

2、 先分析、后处理

我们不会直接拉黑处理,必须经过认真的分析和认定,才能决定对哪些样本入库。

3、 尊重国内环境的特殊性

对白文件、易语言程序等直接粗暴地报毒,就是对用户的伤害,火绒不认可,也不会这么做。

4、 误杀率和查杀率一样重要

误杀率对于安全软件来说,是致命的问题。在“论坛测试”中,这只是一个数字,但是在用户那里,就可能意味着电脑运行不正常甚至蓝屏、工作业务被耽搁、游戏被停止……

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
上海独居老人生前由姑姑照顾,离世后民政局被指定为300万遗产管理人

上海独居老人生前由姑姑照顾,离世后民政局被指定为300万遗产管理人

极目新闻
2024-03-25 14:51:35
招商银行近两年向员工追薪1亿多元上热搜!网友:追回的是绩效工资,被追回说明年底没完成任务

招商银行近两年向员工追薪1亿多元上热搜!网友:追回的是绩效工资,被追回说明年底没完成任务

和讯网
2024-03-28 13:41:06
贝尔:徐杰和胡明轩挡拆后总第一时间找我 球队化学反应越来越好

贝尔:徐杰和胡明轩挡拆后总第一时间找我 球队化学反应越来越好

直播吧
2024-03-28 12:53:48
大s律师在微博大骂张兰,网友 这是个律师吗 跟站街骂人的泼妇一样

大s律师在微博大骂张兰,网友 这是个律师吗 跟站街骂人的泼妇一样

娱乐圈酸柠檬
2024-03-28 13:59:42
彻底告别!韩媒:孙准浩获释后哭了,他说永远不会再去中国

彻底告别!韩媒:孙准浩获释后哭了,他说永远不会再去中国

国足风云
2024-03-26 10:24:30
一个家庭富不起来的根源:垃圾太多

一个家庭富不起来的根源:垃圾太多

洞见
2024-03-26 21:55:38
樊振东同区,1-3、1-11惨败,中国名将一轮游,状态差,有心无力

樊振东同区,1-3、1-11惨败,中国名将一轮游,状态差,有心无力

草根体育
2024-03-27 19:29:02
唐努乌梁海:17万平方公里的地盘,没有任何条约依据却并入了苏联

唐努乌梁海:17万平方公里的地盘,没有任何条约依据却并入了苏联

历史摆渡
2023-12-18 23:50:03
卡米拉透露凯特近况,正在接受早期化疗,暗示儿媳一切都好

卡米拉透露凯特近况,正在接受早期化疗,暗示儿媳一切都好

红袖说事
2024-03-28 16:06:54
蚂蚁集团退地:曾一周内拉高周边二手房价格超百万,如今有房源成交价降130万

蚂蚁集团退地:曾一周内拉高周边二手房价格超百万,如今有房源成交价降130万

红星新闻
2024-03-27 20:35:58
这就是毛主席的楷书,像印刷体一样,怪不得他的狂草随心所欲

这就是毛主席的楷书,像印刷体一样,怪不得他的狂草随心所欲

喜文多见01
2023-12-23 09:42:06
荆州街头大量出现!“根本躲不开……”

荆州街头大量出现!“根本躲不开……”

荆头条
2024-03-27 12:44:00
12幅幽默漫画,画出女生夏天的尴尬!

12幅幽默漫画,画出女生夏天的尴尬!

MICU设计
2024-03-28 09:15:27
李溪芮的玉足美腿白皙动人

李溪芮的玉足美腿白皙动人

娱乐圈酸柠檬
2024-03-19 13:39:09
中国南海未来第一城!中国收复20余年的美济岛,如今建设得如何了

中国南海未来第一城!中国收复20余年的美济岛,如今建设得如何了

可乐86
2024-03-26 08:56:31
李铁案开庭,陈戌源劝李铁退还4800万遭拒,李铁表示里皮也拿过!

李铁案开庭,陈戌源劝李铁退还4800万遭拒,李铁表示里皮也拿过!

毒舌说历史1
2024-03-28 12:54:51
澳门慈善之夜:70岁董明珠打扮精致,任达华对61岁何超琼示好!

澳门慈善之夜:70岁董明珠打扮精致,任达华对61岁何超琼示好!

柠檬有娱乐
2024-03-28 11:16:17
最差顶薪?全场11中2,拒绝采访遭怒批:工资不少拿,球是真差劲

最差顶薪?全场11中2,拒绝采访遭怒批:工资不少拿,球是真差劲

弄月公子
2024-03-28 08:44:52
袁冰妍为出圈也是拼了,穿荡领吊带裙“太客气”,不低俗还挺高级

袁冰妍为出圈也是拼了,穿荡领吊带裙“太客气”,不低俗还挺高级

宋若时尚搭
2024-03-27 11:28:05
按摩时,足浴技师问你之前来过没有?其实是一种暗示,你听懂了吗

按摩时,足浴技师问你之前来过没有?其实是一种暗示,你听懂了吗

原广工业
2024-03-28 12:44:31
2024-03-28 19:40:49
火绒安全实验室
火绒安全实验室
专注,纯粹,才能更安全
506文章数 486关注度
往期回顾 全部

头条要闻

原市委书记一家6人被留置 外甥靠他打招呼做了2亿生意

头条要闻

原市委书记一家6人被留置 外甥靠他打招呼做了2亿生意

体育要闻

疯狂的格林,冲刺的火箭

娱乐要闻

莱昂纳多与25岁新女友互相投喂超恩爱

财经要闻

疯狂!三个城市,三个地王!

科技要闻

小米汽车正式发布

汽车要闻

混动增程双模式 长安UNI-Z售11.79万起

态度原创

艺术
数码
游戏
本地
公开课

艺术要闻

艺术开卷|从闺阁、庭院到郊野,古画中的女性生活空间

数码要闻

宏碁推出 Vero V227Q E3bmixvs 商用显示器,使用 90% 回收塑料

科幻与奇幻的交融,崩坏星穹铁道2.1版本带来的是更强的沉浸感

本地新闻

专访|张伟潮:最年轻的龙头专职制造者

公开课

30岁之前,你要学会的13件事情

无障碍浏览 进入关怀版