查看: 17342|回复: 111
收起左侧

太可怕了!竟然有人弄不清楚误杀和高查杀的关系?!

  [复制链接]
尘梦幽然
发表于 2012-4-20 13:10:55 来自手机 | 显示全部楼层 |阅读模式
本帖最后由 5234377 于 2012-4-21 15:10 编辑

好吧,先提出论点---从杀软本地启发/QVM引擎的角度(意思就是不包括后期添加的白名单)来说,高误报不等于高查杀,但是高查杀等于高误报!
为什么我会这么说?很简单,不少人,包括一些"非普通卡饭",并没弄清安软引擎的工作机制。
我说过的,启发式/QVM引擎就那样,提高查杀,误报也会提高。不少正常软件包含大量的木马特征,很明显的就是腾讯QQ的早期版本。
至于qq的问题,从设计上qq就犯了大忌,qq具有下列特征:1。端口枚举,没有固定的端口,触犯1024以下的系统保留端口和高端端口(端口上的安全隐患)2,全局hook行为和修改ie关键项3。加载驱动而不征求用户4。后台通过udp暗中通讯(用于传输用户在线,等级,本地ip,好友列表等敏感信息)5。改修注册表的系统关键数值,并且用ssm,还可以发现启动时调用的东西不算少。6。包含的东西太多,而且开的端口和服务过多(就是业务)7。包含3389服务,激活时强制枚举端口来绕过防火墙,且会保留绝对控制权,但没有任何的匿名用户的防御。======================以上任何一条都和木马的特征相似,所以,包含如此多的木马特征的软件,当然被列为木马。

这样一个“包含如此多木马特征的软件”曾经被国外的Avira的反病毒软件追杀也并不奇怪。启发式的本质就是提取病毒的程序逻辑进行判定。提取的非关键逻辑越多,误报越高。QVM通过"自我学习"获得了大量的黑白样本特征后建立的数学模型也是一样。要提高查杀,就要增加特征和判定逻辑,就要增加误报。
高速通用虚拟机(ESET)和白名单是目前解决误报的最有效方法。虚拟机模拟程序的真实意图可以避免误判,但要做到ESET那样的超低占用的厂商是非常少的,而且,ESET这样做导致其启发式引擎很容易被虚拟机补丁免杀,还是在一定程度上降低了启发检测率。白名单是大部分厂商选择走的捷径。但是这带来但可怕后果就是目前的白加黑样本。目前,就样本区反馈的状况来看,尚未有能够100%主动检测白加黑样本的国内厂商。国外厂商产品需要设定严格设置才能主动检测。
想要高查杀,安全地带JS引擎和百锐启发式绝对够高,比360的本地QVM还高!但是,误报测试呢?同样,在国外呢?360的QVM由于没有足够的白名单支持被降级到1星。所以,单从引擎上说,"高查杀低误报"目前在国内的技术水平下还是个"伪命题"。
另,又有人说到“360是因为加了QVM误报才高的”。好吧,本帖说的就是QVM和启发式引擎的误报问题,这算是不打自招,前后矛盾了。话说,如果单从启发/QVM引擎的角度说,目前看来的确高查杀是与高误报有直接关系的。
Bitdefender、Kaspersky和Symantec这几家大厂的传统特征码引擎误报率都差不多的。误报主要还是因为厂商开发的启发式检测引擎造成的,比如Symantec的信誉云。
今天贴出一些360官人zdolo曾经的发言:http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037的319L,
去误报是检出降低的主要原因,去一点点误报,检出损失都很大...

http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037,89L,
那当然,所以这段时间QVM一直在调整误报,检出率不断下降

http://bbs.kafan.cn/forum.php?mo ... &fromuid=489037,1276L,
达到高检出容易,控制误报难啊

http://bbs.kafan.cn/forum.php?mo ... d=974743&page=9,85L,
每天都这么强,呵呵,如果允许1%的误报率,做到95-98%比较容易


有如此多的开发者言论可以证明:目前国内外绝大部分情况下光从启发式/QVM引擎的角度来说,高查杀=高误报。我想,“从启发式/QVM引擎上可以做到高查杀低误报”这个谣言,是该毁灭的时候了吧?

评分

参与人数 7人气 +8 收起 理由
阿童木看星星 + 1 版区有你更精彩: )
ablhr + 1 版区有你更精彩: )
ioton + 1 感谢解答: )
julia跺跺 + 1 版区有你更精彩: )
李不知 + 1 赞同,目前中国的技术确实如此

查看全部评分

-oAo-
发表于 2012-4-20 13:13:58 | 显示全部楼层
感觉高查杀和低误报是鱼和熊掌,不能兼得
苏怅
发表于 2012-4-20 13:22:48 | 显示全部楼层
高误报不等于高查杀,但是高查杀等于高误报   这句话很赞同
驭龙
发表于 2012-4-20 14:00:04 | 显示全部楼层
我倒是认为查杀高,真的不等于高误报。就拿本次AVC测试,卡巴和比特梵德的误杀并不高,但查杀非常高。

另外不管厂商使用什么手段,只要获得查杀高,误报低,就等于是成功
hdy0775
头像被屏蔽
发表于 2012-4-20 14:07:44 | 显示全部楼层
杀软,
原则上,
要求100%查杀,
0%误报。。。
高查杀与高误报没有必然联系。
139÷300000×100%=某杀软误报率,因为实在太小了,只好用具体误报数目来表示。
独家的记忆
发表于 2012-4-20 14:18:27 | 显示全部楼层
hdy0775 发表于 2012-4-20 14:07
杀软,
原则上,
要求100%查杀,


又来误导广大饭友了
谁告诉你除数是30万了? 说不定除数才150呢
怎么样了
发表于 2012-4-20 14:20:10 | 显示全部楼层
360如果没有QVM引擎,  只是云和常规引擎 , AVC测试误报肯定不会高 ,    查杀率可未必就低 , 这从以前的AVC和VB100的测试成绩报告就能得出结论 ,

所以说,  高查杀等于高误报 = 谬论
hdy0775
头像被屏蔽
发表于 2012-4-20 14:23:50 | 显示全部楼层
本帖最后由 hdy0775 于 2012-4-20 14:33 编辑
独家的记忆 发表于 2012-4-20 14:18
又来误导广大饭友了
谁告诉你除数是30万了? 说不定除数才150呢


什么“误导”?
什么“说不定”
你自己都不知道,还说什么“误导”?
独家的记忆
发表于 2012-4-20 14:27:12 | 显示全部楼层
hdy0775 发表于 2012-4-20 14:23
什么“误导”?
什么“说不定”
你自己都不知道,还说什么“误导”?

正因为不确定才用“说不定”

不像你,毫无根据就使用“30万”这个不知道从那里随便搞来的数据,不是误导又是什么?
hdy0775
头像被屏蔽
发表于 2012-4-20 14:30:07 | 显示全部楼层
本帖最后由 hdy0775 于 2012-4-20 14:34 编辑
独家的记忆 发表于 2012-4-20 14:27
正因为不确定才用“说不定”

不像你,毫无根据就使用“30万”这个不知道从那里随便搞来的数据,不是误 ...


是你自己不确定,
那是你的事;
与大家的关系不太大。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:45 , Processed in 0.125775 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表