ESET防勒索锁库测试

显示全部楼层 · 发表于 2017-5-20 20:04:24

感谢分享

显示全部楼层 · 发表于 2017-5-20 20:07:13

fireherman 发表于 2017-5-19 16:30
占位，求顶置。

测试环境：WinXP SP3（未打补丁）

算是意料之中吧，不过本来也没有完全指望ESET能给我什么固若金汤的防御，反正我是一直用最新系统的，常见的危险端口我也早就关闭了，所以虽然有点小失望但并不慌。

显示全部楼层 · 发表于 2017-5-20 21:32:28

谢谢分享话说ees6的防御能力如何？

显示全部楼层 · 发表于 2017-5-20 22:24:09

驭龙发表于 2017-5-20 12:22
如果不是为了控制误报，WD的行为分析和动态启发会大杀四方的，可惜为了控制误报，那功能都属于半残了

wd的性质决定了它不能激进。

显示全部楼层 · 发表于 2017-5-20 22:42:17

驭龙发表于 2017-5-20 12:22
如果不是为了控制误报，WD的行为分析和动态启发会大杀四方的，可惜为了控制误报，那功能都属于半残了

也不能说是半残，做安软的最大挑战之一就在于判断准确，如果一个检测方法大杀四方本身就说明检测方法挫。普通个人用户/中小企业客户端谁敢用那种anomaly detection

显示全部楼层 · 发表于 2017-5-20 22:43:43

fehd 发表于 2017-5-20 13:01
用的没有更新病毒库旧版eav 吗

是啊

显示全部楼层 · 发表于 2017-5-20 22:44:27

fireherman 发表于 2017-5-20 15:31
不是啊，Live Grid就是“文件信誉系统”，提示文件的风险程度的。

我的意思是勒索软件防护模块的监测一个环节是通过live grid来查询信誉

显示全部楼层 · 发表于 2017-5-20 22:45:46

erui 发表于 2017-5-20 15:43
那是不是就ESET的 10 版本具备这些功能，
ESET 7、8、9 版本，包括有些网友还在使用 4.2 版本，
就没有 ...

ESET在5.2之后都包含AMS，但其他例如exploit blocker之类的功能应该是更后续版本才有的。我之前用EAV8测的时候看了一下，基本功能都算有，但只有10有基于HIPS的勒索软件防护功能

显示全部楼层 · 发表于 2017-5-20 22:51:23

eset的防勒索hips是否就是锁死特定文件夹

显示全部楼层 · 发表于 2017-5-20 22:52:25

ccboxes 发表于 2017-5-20 18:26
话说内存扫描应该也不是ESET的独有技术吧。相比其他安软的内存扫描，有什么独到之处呢？

这点ESET的确没有披露太多细节，但很多安软内存扫描是on-demand的，少部分内存监控似乎也仅仅是字符串/简单特征匹配（估计出于性能考虑）。
ESET宣称AMS会对每个进程的内存操作都进行监控，新建内存页的时候会内存内进行启发扫描（我猜是基于某种特征的静态启发，杀变种应该效果很好，杀新东西就不好说了），而没有修改的内存页会通过缓存机制减少性能影响。从我目前看到的情况来看，不少安软并不具备实时内存监控+启发侦测的能力，扫描被过了之后大多走的是运行时API行为监测路线，检测模型不好的话误报率可能是个问题。如果找到更多AMS的资料再补充

[分享] ESET防勒索锁库测试