谁能解释一下WD在样本区为何这样厉害

ccboxes

z2009 发表于 2016-5-4 22:08
对的，基本的都做不好，还不如回家卖白薯，少提借口防御强的

然而静态查杀是有天花板的，启发技术不可能彻底反编译程序，所以搞引擎的做到最后都走上靠云暴力扩展样本池的路子，滞后性仍然不可避免。

我的观点是WD立足于基本防护、端点数又有先天优势应该彻底云化，把优势发展到极限。而第三方杀软更应该在主防上下功夫，提供针对未知威胁的高级保护。

T.Yoshiyuki

驭龙 发表于 2016-5-4 14:10
不会错的，应该就是Spursint，不然以WD的水平……

最新的12706引擎，更是怪癖，把引擎中NT函数删了， ...

而且Symantec cynic是基于Symantec ATP的，跟一般人用的SEP没什么关系……
话说NT函数是啥？忘了

ELOHIM

ccboxes 发表于 2016-5-4 22:29
然而静态查杀是有天花板的，启发技术不可能彻底反编译程序，所以搞引擎的做到最后都走上靠云暴力扩展样本 ...

分析的很好。
系统是微软开发的，微软有义务做好安全方面的维护。
虽然定位于正版产品的基本防护，但是微软做出了免费一年的有力让步，也相当于重拳打击盗版市场。

说回安全：
任何一个人，只要头脑正常，都不会拘泥于自己的产品定位于基本、基础、基准、BASELINE、参照。
安全方面，也是一个无形的市场。
需要遵从于一定的市场运行规则。

零日漏洞\已知漏洞，启发，误报，查杀，性能，包括对于隐私的控制，对于未来格局的战略布局分析，都要跟进。微软一个都不能落下。
某安全软件，为什么贩卖用户隐私？某安全软件为什么推送那么多精准定位的广告？等等。。

第三方软件的有利方面就是自身网站的宣传加之老用户的口碑和新名词的包装以及新版本发布后对于市场的临时刺激了。这个社会，对于促销，对于广告，对于返利，已经疲软已经麻木了。
但是他们想要在Windows 10系统上面像Windows XP 那样顺风顺水的时代已经过去了，他们再也不可能HOOK那么那么多的底层函数。
微软也在高呼升级到免费的Windows 10系统上。安全提升只是一点点而已。

至于那么多人不喜欢Windows 10，不喜欢Windows Defender，说好听些，人各有志而已。

z2009

ccboxes 发表于 2016-5-4 22:29
然而静态查杀是有天花板的，启发技术不可能彻底反编译程序，所以搞引擎的做到最后都走上靠云暴力扩展样本 ...

问题是有了第三方的杀软，wd就自动关闭了，而且原则上应该一个杀软吧，虽然我们这些人喜欢折腾，这个组合，那个搭配的，对一般用户而言，只要一个杀软就可以了
所以一般主营安全的公司，应该尽量做到全面，让用户安心的使用电脑，那么wd，也可以放心的关闭了

HEMM

daixiaoran 发表于 2016-5-4 21:57
反正WD再强，也强不过我大红伞。
反正WD再流畅，也流畅不过我大红伞。

这话也太绝对了，就文件修复来说，红伞目前还拼不过MA吧？

cfhdrty

ccboxes 发表于 2016-5-4 22:29
然而静态查杀是有天花板的，启发技术不可能彻底反编译程序，所以搞引擎的做到最后都走上靠云暴力扩展样本 ...

但是主防拦截的话有时触发了还拦截失败，卡巴bd诺顿都见过这种情况，这时候及时的入库就简单做到了主防卯足劲也杀不到的毒……所以两者互补还是非常必要的

GreenCodes

ccboxes 发表于 2016-5-4 22:29
然而静态查杀是有天花板的，启发技术不可能彻底反编译程序，所以搞引擎的做到最后都走上靠云暴力扩展样本 ...

我只想说行为防御对于大众安全软件来讲最不重要，深入了解一下大众的需求和现状就知道了

fuluoduo2008

GreenCodes 发表于 2016-5-5 05:50
我只想说行为防御对于大众安全软件来讲最不重要，深入了解一下大众的需求和现状就知道了

就是说U盘一插，要能扫描出来安全不安全吗。。。

li13911

因为WD的引擎本来就很厉害，强悍的虚拟机，只不过是为了基础的防护、防止误报、可能样本量本来也不是很多，所以才给人一种低的感觉

驭龙

T.Yoshiyuki 发表于 2016-5-4 23:00
而且Symantec cynic是基于Symantec ATP的，跟一般人用的SEP没什么关系……
话说NT函数是啥？忘了

ATP的客户端就是SEP，不需要独立的ATP客户端的，Cynic是一个云服务的东西，需要服务端管理

官方的意思，服务端开放Cynic以后，SEP客户端就有ATP效果了，所以ATP是SEP的一个服务，当然是有关系的了，前几个版本的SEP更新版本，还专门介绍SEP添加ATP效果，我有相关的帖子。

https://www.symantec.com/zh/cn/t ... =footer_products_tp
官方原文：

如今的高级攻击大部分都可以躲过单点安全解决方案的检测。现有解决方案分散独立，因此分析员不得不检查各种来源的数据，并尝试“关联数据点”以找出环境中攻击的“蛛丝马迹”。
高级威胁防护利用一个控制台全面保护端点、网络和电子邮件，采用三步曲对付入侵的复杂高级攻击：发现、划分优先级和快速补救。
您可利用当前部署的 Symantec Endpoint Protection 和 Email Security.cloud，无需部署任何新端点代{过}{滤}理。