AV-Comparatives Removal-Test 2016

诸葛亮

猪头无双 发表于 2016-10-20 22:33
换句话说，就是系统带毒情况下的清毒/删除样本的能力测试。

还得是现安装杀软，再更新，再测试？ ...

嗯，就是酱紫。

猪头无双

诸葛亮 发表于 2016-10-20 22:34
嗯，就是酱紫。

我又更新回复了

ELOHIM

猪头无双 发表于 2016-10-20 22:33
换句话说，就是系统带毒情况下的清毒/删除样本的能力测试。

还得是现安装杀软，再更新，再测试？ ...

双击一个外{过}{滤}挂，中了好几个黑客的程序。。。
也有可能的。

真实环境下，一般都是中了一个病毒吧。

猪头无双

ELOHIM 发表于 2016-10-20 22:49
双击一个外{过}{滤}挂，中了好几个黑客的程序。。。
也有可能的。

不可能，比如说你中了一个下载者，那么下载者不可能只下载一个或一类样本，而是大量样本，比如木马、后门、漏洞利用程序等等。

最近翻译ESET那个官方文档，里边说的。所以我觉得我这种推测比较靠谱。

ELOHIM

猪头无双 发表于 2016-10-20 23:00
不可能，比如说你中了一个下载者，那么下载者不可能只下载一个或一类样本，而是大量样本，比如木马、后门 ...

Below is a list of the used samples. Readers can ignore the IDs in parenthesis; we mention them only as a reference for the tested AV vendors to identify them based on the samples they received from us after this test2.
Sample 1 (636bb1): Ldpinch trojan
Sample 2 (bff91b): Nitol.B trojan
Sample 3 (fce985): Noancooe backdoor  
Sample 4 (6eaf78): DelfInject trojan
Sample 5 (de2765): Crowti ransomware
Sample 6 (f365f6): Banker trojan
Sample 7 (76cbfa): Zbot trojan
Sample 8 (1f39ef): Phorpiex worm
Sample 9 (056a11): Zegost backdoor
Sample 10 (e25a35): Bladabindi backdoor
Sample 11 (3a848e): Nitol.A trojan
Sample 12 (ab05af): CeeInject trojan
Sample 13 (c68610): Tescrypt ransomware
Sample 14 (5b571e): NetWiredRC backdoor
Sample 15 (e6ba41): Vobfus worm
Sample 16 (1099ca): Fakon trojan
Sample 17 (169e15): Omaneat trojan
Sample 18 (845343): Latot trojan
Sample 19 (085788): Ursnif trojan
Sample 20 (2e5639): Dorv.A trojan
Sample 21 (45c63a): IRCbot backdoor
Sample 22 (3d0f56): Bunitu trojan
Sample 23 (449001): Dacic trojan
Sample 24 (5d8304): MultiInjector trojan
Sample 25 (cf0a6e): Slingup backdoor
Sample 26 (966357): Ramnit virus
Sample 27 (e061a3): Cutwail trojan
Sample 28 (586b59): Dodiw backdoor
Sample 29 (b9f08a): Sality virus
Sample 30 (8c8470): Ainslot worm
Sample 31 (ea6f64): Gocok trojan
Sample 32 (5251c0): Banker trojan
Sample 33 (17d9bb): Ursnif.B ransomware
Sample 34 (52e76c): Dorv.C trojan
Sample 35 (cba22b): Gaertob backdoor
Sample 36 (00ab96): Sality.AU virus
Sample 37 (00c3f4): Gamarue worm
Sample 38 (001d68): Fynloski backdoor
Sample 39 (0a912f): Kovter trojan
Sample 40 (0dafb4): Jenxcus worm
Sample 41 (95666d): Weenloc ransomware
Sample 42 (0ef29d): Renamer virus  
Sample 43 (2b1f2e): Nuqel worm
Sample 44 (e42de1): HydraCrypt ransomware  
Sample 45 (748b92): Dumpy worm

还真的没有downloader......    可能样本没有足够说服性，结果不具备说服力。  或许多次评测结果建立曲线才能看出“趋势”。

猪头无双

ELOHIM 发表于 2016-10-20 23:08
还真的没有downloader......    可能样本没有足够说服性，结果不具备说服力。  或许多次评测结果建 ...

To sneak past protection, the bad guys flood the Internet with thousands of variants of their malware  Another method is to distribute malware to a small number of targets to avoid attracting the attention of security companies  To avoid detection, clean software components are misused or malicious code signed using certificates stolen from legitimate companies, so that unauthorized code is harder to spot

ESET的白皮书这么说的。翻译可以去看我在ESET区的帖子

ELOHIM

猪头无双 发表于 2016-10-20 23:14
ESET的白皮书这么说的。翻译可以去看我在ESET区的帖子

那么真实环境应该有多少种呀……

成千上万的变种全部在一个用户计算机里面偷偷二次编译生成安全软件检测不到的程序还是放在千千万万的计算机里面互相调用加载形成安全软件难以检测的攻击或产品或其它方式呢？
看来，问题的焦点是：什么才是真实环境的问题。

猪头无双

ELOHIM 发表于 2016-10-20 23:21
那么真实环境应该有多少种呀……

成千上万的变种全部在一个用户计算机里面偷偷二次编译生成安全 ...

如果说国外的真实环境是一个电脑只中一个样本的话，让他们去天朝的打印店看看，电脑里那样本要多少有多少，要多少种类，有多少种类。或者说大学的教室里的电脑也成。

ELOHIM

猪头无双 发表于 2016-10-20 23:38
如果说国外的真实环境是一个电脑只中一个样本的话，让他们去天朝的打印店看看，电脑里那样本要多少有多少 ...

哈。。
猪猪要知道，这种“真实环境”是实验室里面搭建出来的。

头脑风暴。

就像：模拟？  就像：野生动物园？    反正距离真正的真实环境还是有差异的。

猪头无双

ELOHIM 发表于 2016-10-20 23:41
哈。。
猪猪要知道，这种“真实环境”是实验室里面搭建出来的。

所以说他们模拟的真实环境不真实。

换句话说，他们的研究人员想当然了。