关于个人对自动分析系统的总结
用了几十天。来总结一下关于这个样本自动分析处理系统。。。
首先要赞的是速度。如果不看分析准确率,速度最快是1分钟左右,刚上传完马上查询发现是“分析中”,1分钟左右再去查询,就已经有结果。
但如果算上准确率就稍有点逊色。。不过该系统刚投入使用,有待完善,就不再提什么高要求了~
不过在这几十天的使用期里,多多少少会发现一些规律。
总结一句话就是该系统在一定程度上是非常依赖文件扩展名的。。
比如你将一个exe文件的扩展名改为exe1传上去,处理速度就会明显变慢~
另外对于vbs,html,bat,doc,wav,txt等这些格式的样本的分析要是比较慢,而且经常是分析不准,多数是把病毒分析成安全文件。可能是不会智能解密吧~(有兴趣的挖挖我第一期测试时候不断上报分析错误的文件吧~)
并且在上传文件的大小控制上,那里提示压缩只能用rar,zip格式,有一次我不小心传了一个7z格式的压缩包上去,我以为会提示出错返回,结果居然是接受了,而且分析很快,马上把我的整个压缩包分析为病毒。
压缩包最大是5m,但我试过上传单个5M+的文件上去居然也ok!记得有一次好像有提示我单个文件不得超过10m。。。这些应该事先也列出来~
最后是说杀不杀现象~标出解决版本但实际并不查杀,某帖中看到12号工程师说那是理论解决版本,实际可能会根据特殊情况延后几个版本,我后来验证一下发现好像没错~再升级几个版本就杀了~不过最迟那次是隔了2天才升级查杀。。。。。
总之希望这款方便的上报系统不仅方便,而且还要实用才行~
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA)
