【公告】可疑文件交流区介绍及相关规定(2008.09.15更新)

一、可疑文件交流区的源起

卡卡社区中反病毒论坛等技术版区,在解决会员提问及病毒问题时,经常需要要求中毒会员上传病毒样本,以供版主或其他回帖者进行分析,才能给出有效全面的处理方法。然而此前由于社区没有专门接受病毒样本上传的版区,很长一段时间内遇到此类情况,都需要版主使用自己的邮箱作为接收会员上传样本的媒介。在社区重新允许上传RAR等附件之后,这种情况才有所缓解,然而同时求助帖中分散的病毒样本,以及所有会员均可以从帖子中下载附件的情况,又导致了管理上的不便,给会员和论坛的安全留下隐患。

同时,对于反病毒论坛等技术版区中的版主与会员来说,要真正地提高自身对病毒的处理能力,使自身对病毒的认知达到一个新的水平,实际分析病毒样本是学习过程中不可缺少的环节。对病毒的处理,无论是立足于查杀,还是立足于主动防御,都是以充分了解病毒的实质及其运行机理为前提的。对病毒样本分析有兴趣的版主和会员们,亟需这样一个可疑文件样本分析与交流的平台。

因此,论坛技术区人士从很久以前就一直向论坛管理员建议,设立可疑文件交流版区,以满足解决会员求助和促进会员学习提高的客观要求。

适逢卡卡社区改版之际,可疑文件交流区终于在技术区人士的期盼与管理员的支持下正式设立。


二、可疑文件交流区的定位

可疑文件交流区开设的目的,是为对病毒样本分析有兴趣的会员提供一个交流的场所和学习的平台,通过引导会员参与对可疑文件的分析和鉴别,进一步加深会员对病毒行为及其特征的认识和了解,进一步增强会员对病毒和可疑文件的反应和处理能力。


三、是可疑文件交流区,还是可疑文件上报区?

作为瑞星官方开设的论坛,可疑文件交流区的开设,自然也就使得瑞星从用户处获得病毒样本多了一个渠道。自本区开设以后,瑞星安排人员从本区下载样本,并交由技术人员分析。

然而,瑞星人员的出现,渐渐使部分会员只看到本区样本上报的附加功能,从而将本区只视为单纯的样本上报渠道。

应该指出,这样的认识是不全面的,它偏离了本区设立的目的和定位。

本区的开设,首先是为论坛中对病毒分析感兴趣的会员提供交流和学习的平台,而绝非只为了为瑞星搜集样本。本区的重点,在于鼓励会员自主地对可疑文件样本进行鉴别,并给出自己原创的分析结果,从而提高自己对病毒的认知和处理能力。可疑文件交流区不是瑞星的客服部门,而是论坛会员自主交流的平台。


四、我们欢迎什么样的可疑文件样本

既然本区是接受会员上传可疑文件样本的版区,为了避免泥沙俱下,我们必须明确,什么样的样本对本区来说更有价值,更为本区所提倡。

一个病毒样本的价值,在于它有什么样的行为,它如何实现其行为,它对用户的计算机安全造成了什么样的危害,从其造成的危害、传播途径,及其病毒功能实现所使用的技术和方法的角度上,可以给病毒分析者带来什么样的收获,给安全行业从业者和杀毒软件厂商提出新的考验和课题。在以上一个或几个方面表现“良好”的病毒样本,就是有价值的病毒样本。

杀毒软件能不能查杀,当然是样本好坏的判断依据之一,但这不是最核心和本质的依据,更不是唯一的依据。

一些本已被识别的病毒,做了加壳加花指令等单纯的免杀操作后,让杀毒软件暂时不能识别,这样的样本,对于杀毒软件厂商丰富其样本库当然有一定的意义,然而它并没有提供实际上的新特性,从病毒分析的技术角度上来说,并没有真正的价值和意义。本区对病毒进行分析的,是广大会员,对这样的样本进行人工的分析和研究,只会在不断的重复中浪费时间和精力。因此,本区并不提倡会员上传这样单纯以“对杀毒软件做了免杀”为卖点的病毒样本。

相反的,一些样本,可能刚刚被杀毒软件列入查杀范围,然而其大致行为或实现方式和细节,以及完整有效的查杀方法,未必已经被了解得非常清楚,会员仍对这些问题感兴趣,那么,就完全可以将它们列为讨论的对象。


五、本区发帖讨论的相关规定

1.本区鼓励会员在独立思考的基础上,做有理有据的讨论。

交流和讨论的目的,就是把“自由”还给会员,把对病毒样本的分析和鉴别的话语权交给会员,而不是单纯留下杀毒软件的声音。随着下载权限的放宽,更多的会员将可以下载到本区上传的样本附件,可以在自身力所能及的范围内,对样本进行分析和判断,就样本的性质(是否病毒或恶意程序,是什么类型的病毒)及更详细的细节,有理有据地发表自己的意见。

本区不是反病毒版及流行病毒版,不以病毒查杀解决为唯一目标,因此对发出的样本,除非明显不是病毒或为单纯免杀等没有继续讨论价值的病毒,否则没有“必须解决”的概念,也一般不以“已解决”、“杀毒软件已能报毒”为终止讨论的标准。

本区提倡会员独立思考,在自身能力范围内对样本做出分析,而不是单单测试杀毒软件或照搬其结果,同样也一般没有绝对的“权威意见”。

2.如果会员只想单纯知道样本是否病毒,或杀毒软件是否能查杀,可以使用在线多引擎病毒扫描系统:

http://www.virustotal.com/
http://virusscan.jotti.org/

会员要求对样本进行是否病毒的验证的帖子,发帖时应尽量附上对样本进行多引擎病毒扫描的结果。
对样本明显不是病毒的帖子(正常的系统文件或已验证的正常应用软件组件,或非可执行文件等),为免会员在这些帖子上浪费不必要的时间和精力,版主将可视情况予以锁帖等处理。
除可疑样本上传,会员也可提交怀疑带毒的网页。提交此类带毒网页链接时必须说明是带毒网页,并在发帖时禁用URL识别,以免其他会员误点。


3.严禁把旧病毒进行加壳加花,或更改部分特征等“翻新”处理后,当作新病毒发布或借以炫耀,违者将给予锁帖、删帖,并视情况给予进一步禁言或禁止访问的处理。

4.严禁发布加壳工具、免杀工具等对病毒木马进行处理以使其逃避杀毒软件检测的一切程序,严禁直接发布完整可编译的病毒源代码或病毒木马生成器。违者将视情况给予删帖和禁言乃至删除ID的处理。从病毒分析的角度提供部分逆向反汇编的结果的情况除外。

5.本区鼓励技术讨论,严禁灌水回复。

如“权限不够下不了样本”之类的回复,将被视为灌水回复,版主可直接删除。单纯复制或引用他人回复,或回复完全相同内容(如楼上回复“卡巴报毒了”,楼下回复“我的卡巴也报了”),也会遭到与灌水回复同样的处理。尤其禁止“顶”等纯粹的灌水回复。对灌水回复的其他定义与论坛技术区总体标准相适应。

6.本区只接收可疑文件样本上传,带毒网页举报以及相关分析的发表。

单纯的求助帖和日志帖,请发到流行病毒区或技术交流区的其他相应版区,版主若发现此类帖子,可视情况移动或锁帖、删帖处理。

7.本区样本以贵精不贵多为宗旨。

如有大量可疑文件样本需要同时提交给瑞星加入病毒库,请走官方网站或瑞星产品中提供的上报渠道。
如短时间内有多个样本需要在本区发帖提交,请尽量集合为一帖。
请勿故意将同一批样本拆单作为不同主题帖的附件上传。
同一ID在24小时内于本区发布主题帖超过5个(包括原发于其他区,由管理人员转移入本区的),即按恶意灌水进行处理。(2008.09.15新增)

8.本区保存的附件,一般为可疑文件,病毒样本,帖子内容中的链接也会包含怀疑带毒的网页链接,测试这些样本和网页有一定危险性,如会员对此危险性没有足够的准备和应对方法,请勿随意下载并运行本区样本或随意浏览帖子中提供的带毒网页。


对会员自愿下载运行本区样本或进入本区提供的带毒网页链接,对计算机造成的损害,论坛及瑞星公司不承担责任。所有进入本区的会员,均被视为已同意此条款。

9.本规定自发布之日起实施,并将不断完善和修正。本规定未尽事宜,由版主视情况灵活处理。

10.本规定最终解释权归于本版区版主及论坛管理层。


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; MAXTHON 2.0)
本帖被评分 1 次
最后编辑轩辕小聪 最后编辑于 2008-09-15 02:36:16