楼主: B100D1E55
收起左侧

[技术原创] 解析启发式杀毒

  [复制链接]
fireherman
发表于 2017-1-2 14:45:30 | 显示全部楼层
本帖最后由 fireherman 于 2017-1-2 14:46 编辑
ysj963 发表于 2017-1-2 14:37
这么说你不玩双击就是没展示出AMS的实力啊。ams\atc\和卡巴的受信任应用程序模式看来都是看颜值,ESET口 ...




双击还得开虚拟机……

开虚拟机就算了……

现在的病毒(如勒索软件)动撤还要.NET 3.5(甚至4.0)那么娇嗲……

这都算了,还要miss掉,满眼被加密的文档……

要么就是靠 HIPS/FireWall 来拦截……

你说…… 还双击个P啊。



B100D1E55
 楼主| 发表于 2017-1-2 15:05:31 | 显示全部楼层
小小瞻 发表于 2017-1-2 14:17
给楼主一个小建议。这篇文章是楼主原创翻译的,所以楼主可以修改一下分类,将讨论改为原创,这更能体现出文 ...

已修改,多谢提醒
B100D1E55
 楼主| 发表于 2017-1-2 15:16:14 | 显示全部楼层
fireherman 发表于 2017-1-2 14:08
我觉得:目前ESET最大的缺陷是不看重“云”。

同样以启发作为主打的红伞,同样没有严格意义上的 ...

n年没碰BD了,不过还有用BD的时候我记得ATC是多步带回滚的,从这个层面上来说应该跟AVG的IDP差不多,但和ESET的应该非常不同吧。
我个人觉得ESET仅仅把livegrid当上报网络了,还有就是可能判识的时候多加了一个文件信誉的维度。作为代价拦截率可能没那么高,但误报率也相当低(比QVM低不少,仅从个人日常应用中得出这个结论)

最近使用一段ESET后,发现亮点反而是PUA侦测,我自己收集的一些早期ESET苦手样本类别很多报的内容都很准,说明不是报壳。而且网络反钓鱼和网络扫描也进步不少……早年使用EAV4的时候这些方面都比较悲催。最赞的应该是系统占用,比360TS好很多(这点是通过windows10自带的功耗统计看出来的)
ccboxes
发表于 2017-1-2 15:27:22 | 显示全部楼层
B100D1E55 发表于 2017-1-2 13:24
或许吧,软件本身体积能做这么小说明很多侦测是不靠特征库的……然而杀软发展到今日还停留在启发式扫描防 ...

沙盒?你是指COMDO的沙盘之类的吗?
反沙盘还是很简单的。
ccboxes
发表于 2017-1-2 15:29:51 | 显示全部楼层
fireherman 发表于 2017-1-2 14:08
我觉得:目前ESET最大的缺陷是不看重“云”。

同样以启发作为主打的红伞,同样没有严格意义上的 ...

AMS和ATC并不像,如果像ATC那样采用评分的方式是不可能会有报毒名的,最多就是有个分数。AMS看起来就是字面意思,高级内存扫描。
ccboxes
发表于 2017-1-2 15:33:17 | 显示全部楼层
B100D1E55 发表于 2017-1-2 15:16
n年没碰BD了,不过还有用BD的时候我记得ATC是多步带回滚的,从这个层面上来说应该跟AVG的IDP差不多,但和 ...

ESET的PUA侦测我倒觉得并不是什么特别的手段,应该与普通病毒一样只是入库。毕竟和病毒不同,PUA很少会有变种什么的,也不会刻意逃避侦测。
fireherman
发表于 2017-1-2 15:35:09 | 显示全部楼层
B100D1E55 发表于 2017-1-2 15:16
n年没碰BD了,不过还有用BD的时候我记得ATC是多步带回滚的,从这个层面上来说应该跟AVG的IDP差不多,但和 ...



我觉得现在ESET的位置是很尴尬的,过份依赖本地引擎,高级启发完全失去优势(特别是对付“加花”的变种,很多时候都检测不出来)。

PUA查杀率确实不低,但对白+黑显得非常无力,只能靠HIPS规则(手动)来拦截,自动模式的拦截率……形同虚设,还是严重依赖本地引擎查杀黑文件。

性能倒是不错,内存占用不多,特别是对于浏览网页(实时防护)、P2P下载(实时防护)都不占用多少CPU,流畅性非常好。

fireherman
发表于 2017-1-2 15:37:03 | 显示全部楼层
ccboxes 发表于 2017-1-2 15:29
AMS和ATC并不像,如果像ATC那样采用评分的方式是不可能会有报毒名的,最多就是有个分数。AMS看起来就是字 ...



我没用过BD,所以只是猜的。

B100D1E55
 楼主| 发表于 2017-1-2 15:37:43 | 显示全部楼层
ccboxes 发表于 2017-1-2 15:27
沙盒?你是指COMDO的沙盘之类的吗?
反沙盘还是很简单的。

对,avast未知入沙之类的。我个人对沙盘了解不深,你说的反沙盘指的是穿沙盘还是说检测沙盘环境并拒绝执行/变更行为?
沙盘局限性也不小,但个人认为既然eset对于低信誉但判白的文件比较苦手,入沙可能是一个行之有效的折中方案
B100D1E55
 楼主| 发表于 2017-1-2 15:40:24 | 显示全部楼层
ccboxes 发表于 2017-1-2 15:33
ESET的PUA侦测我倒觉得并不是什么特别的手段,应该与普通病毒一样只是入库。毕竟和病毒不同,PUA很少会有 ...

毕竟早年PUA给我的印象就是报壳……大概就是加大了某些类别收集的力度,钓鱼也是,这些大多都是体力活么……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:51 , Processed in 0.120670 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表