Вопрос по классификации имён детектов - Symantec - комплексная информационная безопасность - Форумы Anti-Malware.ru Перейти к содержанию
K_Mikhail

Вопрос по классификации имён детектов

Recommended Posts

K_Mikhail

Интересует суть следующих детектов:

WS.Reputation.x

Suspicious.Cloud.x, где х - число.

В чём принципиальная разница в этих детектах, в каких пределах может меняться число х для каждого из них?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
DaTa

Судя по типу, первый детект это скорее всего отсутствие надежной репутации(например новый файл который еще не зарекомендовал себя с "хорошей" стороны в облаке)

Второй тип, это после того как файл был проанализирован облаком в нем были выявленные некие подозрительные характеристики, например размер файла от 5 до 100 КБ, в тоже время файл упакован, в тоже время он скрыт(файловые атрибуты скрытый, системный) и.т.д.

Насчет изменения чисел x, не уверен, но скорее всего облачные сигнатуры - это наборы совпадений подозрительных характеристик в том или ином файле. Сказать что именно эти цифры значат сможет только вирусный аналитик работающий в SSRT(Symantec Security Responce Team)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail

Я полистал официальные ресурсы Симы -- к их описаниям предмета больше вопросов, чем желания сказать "Спасибо, я получил ответ на свой вопрос". Из названий -- да, можно сделать примерные прикидки сути, но лучше знать наверняка. А с этим-то как раз сложности...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      Проблема оказалась в редакции windows, для home нужно дополнительно прописывать флаг в реестр, в RC4 теперь это делается автоматически.
        Добавил функцию для образов.

      ---------------------------------------------------------
       5.0.RC4
      ---------------------------------------------------------
      o Добавлена поддержка включения отслеживания командной строки процессов для "Home" редакций Windows.
        Теперь при включении отслеживания в лог печатается статус этой опции.

      o Функция "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом" теперь доступа и при работе с образом,
        если образ сделан при активном отслеживании процессов.

      o Исправлена критическая ошибка при создании файла описания для скопированного в Zoo большого текстового файла (vbs/cmd и т.д.).

       
    • santy
      Привет. По 5.0 RC3 Это работает. (саму команду еще не проверил как работает). И в цепочку процесс укладывается, хотя цепочка достаточно запутана, но к сожалению, отслеживание командной строки не включилось по какой-то причине. Возможно потому что не был отключен антивирус MBAM.
       o В окне истории процессов и задач в контекстное меню процесса добавлен новый пункт: 
         "Распечатать в лог топ-10 процессов пересекающихся по времени с этим процессом"
         Это может быть полезно при поиске процесса модифицировавшего неявно запущенный им процесс. Функция есть в истории процессов и задач, но работает видимо только из активной системы.                           DESKTOP-867G3VL_2025-07-15_20-59-13_v5.0.RC3.v x64.7z
    • demkd
      Да, с этим файлом проблема, починю.
    • PR55.RP55
      В настройках добавить: Отправлять лог применения\выполнения скрипта на сервер\адресату. Уникальный идентификатор прописывается в скрипт при его генерации. т.е. Оператор не запрашивает результат выполнения скрипта у пользователя.    
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.14.
×