关于杀软查杀率与启发查杀的关系

jmkbird

可以从卡饭和http://threatcenter.crdf.fr/?Stats这些个网站可以看出，对付新兴的病毒与变种还是启发查杀相对最实在，而NOD32多年来的犀利也是与目共睹的。然而其在大样本的查杀率来讲却相较avira卡巴、BD之流也有着一定差距。那就纳闷了，大样本（历史样本）的查杀能力不也是靠一天天积累起来的吗？为什么在时间纵向样本的积累上NOD又落后于他人了呢？明明新兴样本出现时它表现基本优于其他厂商！

flcing

当年还在折腾的时候

记得两件事儿 貌似eset的病毒库更新是远小于其它厂的

二 eset的病毒库对于一些技术太过时 没有危害能力的病毒进行忽略

三 病毒查杀率这玩意上无需太纠结，主流的杀软基本差距不大（没有启发也可以及时入库），系统防护，低误杀，和用户体验对于个人用户来说才是重点

貌似因为用户体验所以很小盆友都喜欢数字，为图清静又不失安全，很多老鸟都喜欢eset

辽宁大连~~小海

启发是不是可以说病毒库很小，靠引擎代码什么的查杀而已？

jmkbird

flcing 发表于 2015-7-1 21:17
当年还在折腾的时候

记得两件事儿 貌似eset的病毒库更新是远小于其它厂的

用户体验来讲，NOD真心是安软中的苹果啊，特别是模块化设计，老版本继续升级，效果相当，不像别的烦死地升级

欧阳宣

你靠启发总赶不上把全部特征无脑放到云端的厂商啊。当然bd那种除外，人家不能归类到通用定义的特征全部搬到本地，也是为了确保安全

启发定义为了回避误报，需要反复修正，修正的过程也漏掉了一些本应杀的东西。

许多新种类恶意软件的机理和以前的旧样本也没有任何关系，咋启发出来

jmkbird

欧阳宣 发表于 2015-7-1 22:19
你靠启发总赶不上把全部特征无脑放到云端的厂商啊。当然bd那种除外，人家不能归类到通用定义的特征全部搬到 ...

我的疑惑在于，按照平日表现，那累计起来的话NOD查杀率也还得最高啊，难道它收集不勤快？

jmkbird

辽宁大连~~小海 发表于 2015-7-1 22:12
启发是不是可以说病毒库很小，靠引擎代码什么的查杀而已？

基本就是这样

欧阳宣

jmkbird 发表于 2015-7-1 22:23
我的疑惑在于，按照平日表现，那累计起来的话NOD查杀率也还得最高啊，难道它收集不勤快？

为了缩减库的大小，要编写通用的启发特征，但是总有些样本是通用特征无法涵盖的，把这些特征全部包含的话，库又大了。

bd有些库文件五六年了都还放着，不肯舍弃老特征，积累起来的大小也是蛮恐怖的

jmkbird

欧阳宣 发表于 2015-7-1 22:27
为了缩减库的大小，要编写通用的启发特征，但是总有些样本是通用特征无法涵盖的，把这些特征全部包含的话 ...

包含在内又不会怎样，有洁癖啊

饭@avast

恶意软件的识别模式多种多样,启发和非启发界限也不是那么明确.启发不还是要人工制定规则么.
我没觉得eset在新威胁上有多少突出表现(作为一个虚拟机启发来说),只觉得它的通杀能力不错,比如那条Farfli特征.倒是卡巴的通用启发常常能发威.