VB100,卡饭测评的具体分析及应用方式

zhq445078388

这篇文章是我看过卡饭的测评 VB100的评分结果 以及大量或褒或贬的认知帖子后想到的

先看看VB100的测评方式

首先 我们需要想想看 VB100在生活中确实的意义
基本上 VB100测试所用的是互联网上的活跃样本 也就是说 考验的是样本收集能力 一般来说 病毒库越大 通过率越高
如：卡巴斯基 比特梵德

其次 VB100测试所用的是大部分活跃 小部分不活跃的白文件 或有数字签名 或无数字签名 这点考验的是厂家的特征提取能力 如果胡乱提取 则会出现误报而无法通过测试
如：趋势、金山
=======================================================================
然后回来看卡饭样本测评

卡饭的测试则是注重样本质量 在国内具有很强的代表性 因为国内与国外不同 国内的大家会拼了命的做免杀来逃避杀软检出 卡饭的样本大多数看起来是属于广谱免杀 也就是通用免杀法 考验的是杀软对抗免杀手段的能力 一般来说 动态启发 强虚拟机脱壳等手段都可以在这里取得很好的成绩
如：百锐、eset、卡巴
另外一些针对国内免杀样本进行算法归纳的杀软也可以获得不错的成绩
如：360杀毒 AVG
当然了 库大的杀软也有很不错的成绩
如：比特梵德 卡巴斯基 （歌德塔也算 但是因为大家对360的褒贬不一 这类多引擎杀软我们只看自主引擎的 而歌德塔是无自主扫描引擎的）
------------------------------------------------------------------------------
这样 我们知道 vb100更多的是测试杀软的病毒库归纳能力 以及特征提取能力
而卡饭的更多是根据国情测试的是杀软的免杀对抗能力

比如微点的扫描部分 一个特征码 通过其引擎和算法可能对抗数种通用免杀能力 而金山则是变几个字节就需要重新归纳
所以金山的库比微点高几千倍 几万倍 检出率也不过和微点扫描差不多的关系 引用以前有人说的一句话 如果国内云的特征能下地 那么不比国外杀软差

然后是误报问题 通过这次误报测试 以及VB100的误报测试 我们可以发现 金山 趋势 其实他们的检出率很大程度上是对某种特殊格式的通杀
如金山的微特征 取节特征 而E语言和VB DE编译出来的程序大多具有相同的节数据 而金山对非主流的语言编译出来的 不少是采取的通杀 这样 检出率上去了 但是其误报率 惨不忍睹
从这一点上 我们可以看出提特征的严谨度金山和趋势远远不如卡巴和微点 （虽然5日微点停测 但是我们的私下扫描进行测试 0误报）
当然 对于非主流的编程语言 虽然国内有20%左右的软件都是E编译出来 但是国外的杀软采取的接近统一的报警 并不能说金山的微特征就不行 而卡巴的0误报是和E语言公司将卡巴斯基告上法庭有很大关系的 而微点则是侧重主防 所以对特征的加入是极其小心

总的来说 卡饭和VB的测试以及日常使用 大家可以参考这个原创的算法
+(vb通过率*1.3)+(卡饭平均检出率*1.5)
+(存在防火墙+1，存在断网应急措施或是否联网无影响+1，)
- (vb误报数*1.5) - (卡饭误报数*0.8) - (占用内存mb*0.1) - (静态时占用cpu*1)
+(根据喜好调整，如单步主防+5,多步加10 如果喜欢单步 那么反之)
+(病毒库大小(mb)*0.1，云 信誉云+2 查杀云+3 鉴定云+4 综合云+5)
+(根据自己的喜好 比如喜欢国外的 那么国外品牌+3 喜欢国内的 那么国内品牌+3)
ps：具体检出率可以根据喜好自行判断是否加入主防结果

-oAo-

呵呵，学习了

查理弗朗西斯

学习了

maomaojk

瑞星也是谨慎提取特征码的那类，本地库不算骨灰级病毒不到18M，不过就是瑞星收集特征、入库的速度太慢，导致现在查杀率上不去。

牆角寫檢討°

学习了，

迷惘的执著

学习+观望

happywangxl

学习了

大白

分割线之前部分赞同，之后完全不敢苟同

keyaozhang

不错不错，版主快来加分

zhq445078388

大白 发表于 2012-2-10 21:10
分割线之前部分赞同，之后完全不敢苟同

感觉哪部分不对？ 如果确实弄错 我就改掉