drweb查杀

nick20010117

大家客观评价一下drweb的查杀。我感觉每天的样本包似乎表现不佳啊

驭龙

nick20010117 发表于 2015-10-4 09:43
龙大，你遇到过DPH杀exploit的情况吗

DrWeb 的Exploit Prevention是11新版本的功能，之前的版本是没有的，来我给你一个体验

我对IE发动SEH攻击，DrWeb 11 Exploit Prevention轻松防御。

Provided message: "SEH Entry Invalid"

Mitigation type: SafeSEH emulation

Registers:
忽略

2015-Oct-04 10:42:37.690835 [4064] [INF] [2272] [DPH] <DefH> evt: <ShGrd>  P: 0 I: 1224 C: 9 T: 50 Pi: 3220 Pa: 3220 Ti: 1840 W: 1, +user, +result: deny
2015-Oct-04 10:42:37.690835 [4072] [INF] [event-manager] process_hips_event
2015-Oct-04 10:42:37.691837 [4072] [INF] [event-manager] process common hips event
2015-Oct-04 10:42:37.776894 [4072] [INF] [event-manager] process shellguard event
2015-Oct-04 10:42:37.810915 [4052] [INF] [DPH] Send DPH detect for 'C:\Program Files\Internet Explorer\iexplore.exe':3220 infection:
DPH:Trojan.Exploit.5 client: 0000000000000 to Thunderstorm Cloud; status = 0

驭龙

nick20010117 发表于 2015-10-4 11:28
测试结果给我很大的信心
DPH应该对于缓冲区溢出有保护吧

Exploit Prevention有很全面的堆栈防御，其中包括溢出攻击。
截至目前为止，Exploit Prevention的防御类型如下：

Mitigation type:
Anti-ROP
Guarded module access restriction
Loading library from UNC path prevention
Stack protection change prevention
Restricted function call prevention
SafeSEH emulation
Critical module access restriction
Unable to find protected function information
Incorrect esp detected while checking a protected address access
Protected address access from outside any known module
Restricted module attempts to read protected address
Trying to access page guarded module
ROP signs in emulation when accessing page guarded module

谷歌机器翻译：
缓解类型：
防ROP
保安模块访问限制
从UNC路径预防装载库
堆栈保护的改变预防
受限制的函数调用的预防
SAFESEH仿真
严重模块访问限制
无法找到受保护的功能信息
不正确ESP检测，同时检查受保护的地址进行访问
从任何已知的模块外部保护的地址访问
受限制的模块尝试读取受保护的地址
试图访问把守页面模块
访问把守页面模块时ROP迹象仿真

驭龙

说实话一般般，尤其是对付未知病毒和未入库的，效果真的很一般，毕竟现在的Virus Finding Engine是五年前的技术，而且也没有云查杀，所以表现真的很一般

cxy密斯

1.国内用户量少，国外也不怎么多
2.有些小问题的不入库
3.本地化一般（不是指误报，国内流氓捆绑之类的，Dr.web基本哑火）
4.针对某些方面还是很强的（每款软件都有自身的特点，如果不适合自己那么也没必要折腾自己，软件这么多，任君选择）

nick20010117

驭龙 发表于 2015-10-1 10:21
说实话一般般，尤其是对付未知病毒和未入库的，效果真的很一般，毕竟现在的Virus Finding Engine是五年前的 ...

启发也没有说起来那么厉害吧
资源占用倒是数一数二的，无语

nick20010117

cxy密斯 发表于 2015-10-1 10:22
1.国内用户量少，国外也不怎么多
2.有些小问题的不入库
3.本地化一般（不是指误报，国内流氓捆绑之类的， ...

用了半年以上的drweb，感觉还是有些失望

kerlee

驭龙 发表于 2015-10-1 10:21
说实话一般般，尤其是对付未知病毒和未入库的，效果真的很一般，毕竟现在的Virus Finding Engine是五年前的 ...

查杀在2014年开始集聚下滑，而毛子方面好像没有更新VFE的打算，不知道在想什么

欧阳宣

以前觉得他查杀好是因为蜘蛛敢杀一些其他不敢杀的国产软件

不过有段时间蜘蛛的精睿成绩确实不错，现在是后退了

nick20010117

欧阳宣 发表于 2015-10-1 10:29
以前觉得他查杀好是因为蜘蛛敢杀一些其他不敢杀的国产软件

不过有段时间蜘蛛的精睿成绩确实不错，现在是 ...

我感觉后退有点明显

nick20010117

kerlee 发表于 2015-10-1 10:27
查杀在2014年开始集聚下滑，而毛子方面好像没有更新VFE的打算，不知道在想什么

这样下去会不会像某国产一样没落

驭龙

nick20010117 发表于 2015-10-1 10:23
启发也没有说起来那么厉害吧
资源占用倒是数一数二的，无语

我关注DrWeb好多年，始终没见过Heuristic爆发过，只是各种说Heuristic强大，可我没见过