Avira Protection Cloud（APC)双击测试（抱歉，由于个人原因停止更新）

诸葛亮

2014.11.20 10：31
样本地址http://bbs.kafan.cn/thread-1788534-1-1.html，精睿样本100个，扫描kill 99个，剩余一个33，双击报未知上传后报安全

结果为 0/1=0%
21：02
样本来源http://bbs.kafan.cn/thread-1788656-1-1.html
一共5个样本，扫描kill 1个，剩余4个双击，apc kill 1个


结果：1/4=25%

PS:样本中的1.exe，在双击时APC没有拦截，而我正打算用隔离区上报样本前又扫描了一次，APC报毒，这证明双击的APC是不如隔离区的扫描APC的。原因如下：
”雙撃與隔離區APC是一樣,只是有時雙撃可能因為控制超時(WINDOWS核心限制為最多10秒(這只有微軟自己可以更改)而被windows核心拒絕,APC的上傳開關未能及時打開
APC現時是雙撃才會掃描 Scan on execution,而不是每一次讀取/寫入都必定會上傳,這樣是非常浪費效能和資源,而且維護的成本會增加“
来自aaa839 大神的解答

s22962000

APC 還是會MISS的

诸葛亮

s22962000 发表于 2014-11-20 12:03
APC 還是會MISS的

APC不是万能的，APC只是作为红伞的辅助性防御，不能当作主防御的

天蓝色的忧伤

过来看看你，给你顶顶

诸葛亮

2014 11.21  11：21

样本地址http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid33306025
精睿样本包100个，扫描kill 99剩余1个，双击APC杀



结果：1/1=100%

15：51-16：56

样本地址http://bbs.kafan.cn/thread-1788914-1-1.html
一共2个样本，扫描kill1个双击APCkill1个


结果：1/1=100%

样本地址http://bbs.kafan.cn/thread-1788910-1-1.html
一共2个样本，扫描kill1个双击APCkill1个

结果：1/1=100%

样本地址http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid33308925
一个样本，双击miss

结果：0/1=0%

样本地址http://bbs.kafan.cn/thread-1788911-1-1.html
共3个文件红伞右键扫描kill 2个，双击APC kill 1个



结果：1/1=100%

样本地址http://bbs.kafan.cn/thread-1788956-1-1.html
流氓软件，扫描双击皆miss ,红伞对于中国的流氓软件一直检测率低
结果 0/1=0

样本地址http://bbs.kafan.cn/thread-1788997-1-1.html
一共2个文件，红伞扫描miss,双击APC杀一个，另一个提示不兼容


结果1/2=50%

样本地址http://bbs.kafan.cn/thread-1788969-1-1.html
红伞扫描双击miss
结果：0/1=0%

天蓝色的忧伤

为嘛我觉得红伞APC的程度比有名的主防还要厉害。。。

诸葛亮

天蓝色的忧伤 发表于 2014-11-21 20:58
为嘛我觉得红伞APC的程度比有名的主防还要厉害。。。

aaa839大神说了APC运用了Night Vision，沙盘，行为分析，新型动态启发等技术，不过和其它的有名强主防还有好大一段距离，APC只是辅助防御而已

s22962000

诸葛亮 发表于 2014-11-21 21:05
aaa839大神说了APC运用了Night Vision，沙盘，行为分析，新型动态启发等技术，不过和其它的有名强主防还 ...

沙盤，行為分析，新型動態啟發
不就類似 雲端的QVM??

诸葛亮

s22962000 发表于 2014-11-21 21:40
沙盤，行為分析，新型動態啟發
不就類似 雲端的QVM??

这个我就不知道了

samlin01

话说我建议每隔一段时间就发布这一段时间APC的总检测率，毕竟每次测试未知样本就一两个，不是百分之0就是百分之百，看不出什么，长时间的列举我觉得会更有说服力。