解析启发式杀毒

fireherman

ysj963 发表于 2017-1-2 14:37
这么说你不玩双击就是没展示出AMS的实力啊。ams\atc\和卡巴的受信任应用程序模式看来都是看颜值，ESET口 ...

双击还得开虚拟机……

开虚拟机就算了……

现在的病毒（如勒索软件）动撤还要.NET 3.5（甚至4.0）那么娇嗲……

这都算了，还要miss掉，满眼被加密的文档……

要么就是靠 HIPS/FireWall 来拦截……

你说…… 还双击个P啊。

B100D1E55

小小瞻 发表于 2017-1-2 14:17
给楼主一个小建议。这篇文章是楼主原创翻译的，所以楼主可以修改一下分类，将讨论改为原创，这更能体现出文 ...

已修改，多谢提醒

B100D1E55

fireherman 发表于 2017-1-2 14:08
我觉得：目前ESET最大的缺陷是不看重“云”。

同样以启发作为主打的红伞，同样没有严格意义上的 ...

n年没碰BD了，不过还有用BD的时候我记得ATC是多步带回滚的，从这个层面上来说应该跟AVG的IDP差不多，但和ESET的应该非常不同吧。
我个人觉得ESET仅仅把livegrid当上报网络了，还有就是可能判识的时候多加了一个文件信誉的维度。作为代价拦截率可能没那么高，但误报率也相当低（比QVM低不少，仅从个人日常应用中得出这个结论）

最近使用一段ESET后，发现亮点反而是PUA侦测，我自己收集的一些早期ESET苦手样本类别很多报的内容都很准，说明不是报壳。而且网络反钓鱼和网络扫描也进步不少……早年使用EAV4的时候这些方面都比较悲催。最赞的应该是系统占用，比360TS好很多（这点是通过windows10自带的功耗统计看出来的）

ccboxes

B100D1E55 发表于 2017-1-2 13:24
或许吧，软件本身体积能做这么小说明很多侦测是不靠特征库的……然而杀软发展到今日还停留在启发式扫描防 ...

沙盒？你是指COMDO的沙盘之类的吗？
反沙盘还是很简单的。

ccboxes

fireherman 发表于 2017-1-2 14:08
我觉得：目前ESET最大的缺陷是不看重“云”。

同样以启发作为主打的红伞，同样没有严格意义上的 ...

AMS和ATC并不像，如果像ATC那样采用评分的方式是不可能会有报毒名的，最多就是有个分数。AMS看起来就是字面意思，高级内存扫描。

ccboxes

B100D1E55 发表于 2017-1-2 15:16
n年没碰BD了，不过还有用BD的时候我记得ATC是多步带回滚的，从这个层面上来说应该跟AVG的IDP差不多，但和 ...

ESET的PUA侦测我倒觉得并不是什么特别的手段，应该与普通病毒一样只是入库。毕竟和病毒不同，PUA很少会有变种什么的，也不会刻意逃避侦测。

fireherman

B100D1E55 发表于 2017-1-2 15:16
n年没碰BD了，不过还有用BD的时候我记得ATC是多步带回滚的，从这个层面上来说应该跟AVG的IDP差不多，但和 ...

我觉得现在ESET的位置是很尴尬的，过份依赖本地引擎，高级启发完全失去优势（特别是对付“加花”的变种，很多时候都检测不出来）。

PUA查杀率确实不低，但对白+黑显得非常无力，只能靠HIPS规则（手动）来拦截，自动模式的拦截率……形同虚设，还是严重依赖本地引擎查杀黑文件。

性能倒是不错，内存占用不多，特别是对于浏览网页（实时防护）、P2P下载（实时防护）都不占用多少CPU，流畅性非常好。

fireherman

ccboxes 发表于 2017-1-2 15:29
AMS和ATC并不像，如果像ATC那样采用评分的方式是不可能会有报毒名的，最多就是有个分数。AMS看起来就是字 ...

我没用过BD，所以只是猜的。

B100D1E55

ccboxes 发表于 2017-1-2 15:27
沙盒？你是指COMDO的沙盘之类的吗？
反沙盘还是很简单的。

对，avast未知入沙之类的。我个人对沙盘了解不深，你说的反沙盘指的是穿沙盘还是说检测沙盘环境并拒绝执行/变更行为？
沙盘局限性也不小，但个人认为既然eset对于低信誉但判白的文件比较苦手，入沙可能是一个行之有效的折中方案

B100D1E55

ccboxes 发表于 2017-1-2 15:33
ESET的PUA侦测我倒觉得并不是什么特别的手段，应该与普通病毒一样只是入库。毕竟和病毒不同，PUA很少会有 ...

毕竟早年PUA给我的印象就是报壳……大概就是加大了某些类别收集的力度，钓鱼也是，这些大多都是体力活么……