五月清澈之夜 发表于 2024-12-9 13:52

关于“恶意代码在线分析”有几个问题需要问一下

关于“恶意代码在线分析”有几个问题需要问一下:
(具体的图片和样本放在文件里,以下只列举问题大纲)
1、引擎和信誉以及国内外主流检测引擎都是空白的,以前还可以展示的,现在不展示了,希望早日回归
2、有的样本上传后会显示威胁行为,但有的病毒上传后却不显示,没有具体威胁行为,这是没有检测出来吗?还是不存在威胁行为?
3、刚上传文件,时间直接显示22万秒,有概率出现这个问题。
4、在上传文件时,有概率出现“加载异常”,上传文件会卡住,我刷新并重新上传了3遍才成功。
5、有些安装包比较大,一些病毒,尤其最近猖獗的流行病毒,经常隐藏在一些和正版安装包差不多样子的安装包里来坑人下载安装,但这些安装包经常二三百MB大小,希望恶意代码在线分析可以扩大一下上传大小限制。
6、有几个文件在恶意代码在线分析是显示可信,但在安天智甲、安天杀毒的扫描下显示是威胁,杀毒软件和在线分析的结果不同,希望安天加以确认。
7、有的“动态分析”显示进度条,有的不显示,这是什么区别?
并且“动态分析”都是灰色的,无法点击查看详情,建议未来可以开放。
8、上传过程中出现很多如下图的“未知”情况,智甲是扫描报毒的,在线分析则是“未知”,希望恶意代码在线分析可以修复这个问题。
9、还有一些显示可疑的样本,这些样本第一次上传显示可疑,但隔天上传后还是可疑,用安天智甲和安天杀毒进行查杀显示是威胁,希望加以确认,并且上传显示可疑的是否会再次确认?
10、我连续三四天上传样本,但下面的积分连续好几天并没有变化,其他人的积分似乎也没有变化,不知道当前是否还在累计积分?
11、安天恶意代码在线分析似乎对于修改器极其不容忍,对于一些游戏修改器,腾讯哈勃和奇安信显示安全指数较高,风险指数较低,但安天全部报威胁,建议安天确认一下样本,是否真的包含病毒。
12、安天恶意代码在线分析对有些正版游戏也报毒似乎敏感度太高了,有点“宁可错杀一千也不放过一个”的意思了。希望安天可以对正版游戏进行更精确的分析。
13、对“向日葵”报毒。望加以分析。
14、建议在分析中加入“误报验证”的功能,当前无论是安天智甲、安天杀毒还是恶意代码在线分析,都缺少一个误报提交的功能,有些文件可能真的是正常文件,但被报了毒,需要提交误报进行再分析验证或人工验证,并及时解除误报或确认真是病毒,故建议在恶意代码在线分析以及智甲等带有病毒检测功能的产品中都加入误报提交的功能。
15、有的样本显示安全,但又显示“APT组织关联”,这究竟是安全还是不安全?是该文件跟APT组织有关联但是文件安全吗?
16、对安天智甲离线病毒库升级包的文件进行分析,显示可疑。样本已放入《被报刻意或显示有行为的安天文件》。由此可疑看出,安天恶意代码在线分析似乎敏感度相当高,稍微有一点不对的地方也显示可疑,真有点“宁可错杀三千也不放过一个”的高敏感度的意思了。希望可以提高分析准确性。
17、在线分析会显示威胁的样本,未来是否会下放到安天智甲、安天杀毒等终端安全产品中?因为经常存在安天智甲查杀安全但在线分析是威胁的情况。

caoqiong 发表于 2024-12-12 14:28

问题收到后,我们已及时协调研发人员排查。
研发人员给出具体答复如下:
1、引擎和信誉以及国内外主流检测引擎都是空白的,以前还可以展示的,现在不展示了,希望早日回归
答:当前这个问题我们已经内测发现并修复,由于部分权限正在调试中,稍后我们会对用户开放对应的权限。该问题即可回复正常。
2、有的样本上传后会显示威胁行为,但有的病毒上传后却不显示,没有具体威胁行为,这是没有检测出来吗?还是不存在威胁行为?
答:威胁行为的知识化标签是通过信誉标定,所以会存在一些文件无威胁行为的情况,对于这个问题,我们后续会逐步完善文件知识标签。
3、刚上传文件,时间直接显示22万秒,有概率出现这个问题。
答:这个问题我们的研发人员正在测试并修复。
4、在上传文件时,有概率出现“加载异常”,上传文件会卡住,我刷新并重新上传了3遍才成功。
答:这个问题我们的研发人员正在测试并修复。
5、有些安装包比较大,一些病毒,尤其最近猖獗的流行病毒,经常隐藏在一些和正版安装包差不多样子的安装包里来坑人下载安装,但这些安装包经常二三百MB大小,希望恶意代码在线分析可以扩大一下上传大小限制。
答:感谢您的建议,我们会认真评估这个需求,并给您答复。
6、有几个文件在恶意代码在线分析是显示可信,但在安天智甲、安天杀毒的扫描下显示是威胁,杀毒软件和在线分析的结果不同,希望安天加以确认。
答:恶意代码在线分析引擎使用的是下一代AVL检测引擎,始终保持着最新的规则,而公司的其他产品会受制于更新周期的限制,可能会造成短期的特征库版本不一致问题。
7、有的“动态分析”显示进度条,有的不显示,这是什么区别?并且“动态分析”都是灰色的,无法点击查看详情,建议未来可以开放。
答:这个问题我们的研发人员正在测试并修复。
8、上传过程中出现很多如下图的“未知”情况,智甲是扫描报毒的,在线分析则是“未知”,希望恶意代码在线分析可以修复这个问题。
答:这是因为恶意代码在线分析服务集成的引擎与安天智甲、安天杀毒集成的引擎版本不一致,所以引擎的检测能力会有一定差异,针对您提的这个问题,我们会认真评估,优化引擎版本同步的策略。
9、还有一些显示可疑的样本,这些样本第一次上传显示可疑,但隔天上传后还是可疑,用安天智甲和安天杀毒进行查杀显示是威胁,希望加以确认,并且上传显示可疑的是否会再次确认?
答:这是因为恶意代码在线分析服务集成的引擎与安天智甲、安天杀毒集成的引擎版本不一致,所以引擎的检测能力会有一定差异,针对您提的这个问题,我们会认真评估,优化引擎版本同步的策略。
10、我连续三四天上传样本,但下面的积分连续好几天并没有变化,其他人的积分似乎也没有变化,不知道当前是否还在累计积分?
答:当前在累计积分,这个问题我们已发现,研发人员正在测试并修复。
11、安天恶意代码在线分析似乎对于修改器极其不容忍,对于一些游戏修改器,腾讯哈勃和奇安信显示安全指数较高,风险指数较低,但安天全部报威胁,建议安天确认一下样本,是否真的包含病毒。
答:感谢您的建议,对于这类修改器,当前做法是报威胁,同时我们也会详细分析这类文件,并认证评估您的建议,优化这类文件的检测策略
12、安天恶意代码在线分析对有些正版游戏也报毒似乎敏感度太高了,有点“宁可错杀一千也不放过一个”的意思了。希望安天可以对正版游戏进行更精确的分析。
答:这个问题我们的研发人员正在测试并修复。
13、对“向日葵”报毒。望加以分析。
答:这个问题我们的研发人员正在测试并修复。
14、建议在分析中加入“误报验证”的功能,当前无论是安天智甲、安天杀毒还是恶意代码在线分析,都缺少一个误报提交的功能,有些文件可能真的是正常文件,但被报了毒,需要提交误报进行再分析验证或人工验证,并及时解除误报或确认真是病毒,故建议在恶意代码在线分析以及智甲等带有病毒检测功能的产品中都加入误报提交的功能。
答:非常感谢您的这个建议,我们后续会尽快增加这个功能
15、有的样本显示安全,但又显示“APT组织关联”,这究竟是安全还是不安全?是该文件跟APT组织有关联但是文件安全吗?
答:这个问题我们的研发人员正在测试并修复。
16、对安天智甲离线病毒库升级包的文件进行分析,显示可疑。样本已放入《被报刻意或显示有行为的安天文件》。由此可疑看出,安天恶意代码在线分析似乎敏感度相当高,稍微有一点不对的地方也显示可疑,真有点“宁可错杀三千也不放过一个”的高敏感度的意思了。希望可以提高分析准确性。
答:这个问题我们已找到原因,研发人员正在测试并修复。
17、在线分析会显示威胁的样本,未来是否会下放到安天智甲、安天杀毒等终端安全产品中?因为经常存在安天智甲查杀安全但在线分析是威胁的情况。
答:样本特征我们并不会直接做为产品的检测特征。我们会通过安天"赛博超脑"平台进行分析加工,以知识规则的形式升级特征库。然后按照固定周期或根据产品需求下发到产品中。

五月清澈之夜 发表于 2024-12-13 21:05

caoqiong 发表于 2024-12-12 14:28
问题收到后,我们已及时协调研发人员排查。
研发人员给出具体答复如下:
1、引擎和信誉以及国内外主流检测 ...

6、有几个文件在恶意代码在线分析是显示可信,但在安天智甲、安天杀毒的扫描下显示是威胁,杀毒软件和在线分析的结果不同,希望安天加以确认。
答:恶意代码在线分析引擎使用的是下一代AVL检测引擎,始终保持着最新的规则,而公司的其他产品会受制于更新周期的限制,可能会造成短期的特征库版本不一致问题。

这里有个问题,安天智甲显示是威胁,别的杀软也显示是威胁(奇安信天守、火绒),但恶意代码在线分析是显示可信,这个似乎是出现了“下一代引擎查杀率比老引擎查杀率低”的情况了。
我建议可以往恶意代码在线分析里面放一个“反馈”功能:对于安天本地查杀与在线分析结果差异过大、同行普遍认为是威胁但安天在线分析显示是安全、或同行显示安全但安天在线分析显示威胁等结果差异大的情况下,方便用户提出反馈,安天可以根据反馈的进行重点筛查,增加准确性。

五月清澈之夜 发表于 2024-12-15 23:40

caoqiong 发表于 2024-12-12 14:28
问题收到后,我们已及时协调研发人员排查。
研发人员给出具体答复如下:
1、引擎和信誉以及国内外主流检测 ...

还有个问题,因为论坛上传文件大小限制,我没能上传具体样本,我通过微信间接传给你们了,你们有收到吗?

tongyong 发表于 2024-12-16 09:20

五月清澈之夜 发表于 2024-12-15 23:40
还有个问题,因为论坛上传文件大小限制,我没能上传具体样本,我通过微信间接传给你们了,你们有收到吗? ...

非常感谢您可以提供样本文件,帮助研发快速定位问题,系统会尽快和误漏报系统打通,在未打通误漏报系统前,烦请您通过邮箱将样本传给我们。您可以将样本发送到 tongyong@antiy.cn
页: [1]
查看完整版本: 关于“恶意代码在线分析”有几个问题需要问一下