楼主: 小小瞻
收起左侧

[技术原创] 【新增微点】10大杀软本地主防测试—对抗勒索软件【参测杀软中含无本地主防的杀软】

  [复制链接]
tgzw1680
发表于 2017-1-5 10:00:04 | 显示全部楼层
还是那句话卡巴的*.*解决一切难题。。。哈哈
ysj963
发表于 2017-1-5 10:06:41 | 显示全部楼层
ESET过于兼顾误杀了。过于保守,我想只要稍微放开一点,就会有很好的表现。ESET比较适合非IT人士,电脑东西简单的人。然后提高伐值就行了。
qftest
发表于 2017-1-5 10:22:02 | 显示全部楼层
小小瞻 发表于 2017-1-4 22:25
做这个测试,我只想单纯地比较一下各大杀软本地主防能力的高低。面对最新的病毒木马,特征码以及云和信誉 ...

在目前搭配一个防勒索专用工具恐怕是很有必要的,希望楼主空闲时能做个各家防勒索专用工具的对比测试,例如HMPA/RansomFree/cybereason/WinAntiRansom等等
houtiancheng
发表于 2017-1-5 10:29:40 | 显示全部楼层
本帖最后由 houtiancheng 于 2017-1-5 11:12 编辑
jiangz1234 发表于 2017-1-5 05:33
我不赞同你关于EMSISOFT IS的测试,又是一个主防与HIPS分不清的家伙。

你所说的Emsisoft拦截率取决 ...


额额,这个地方不要引用我的话啊……
上次说的,只是我的个人的定义,是一种外延定义,而非内涵定义。
即只通过一个产品的行为(如弹窗的内容、可选的行动)来判定其是否为主防,而不考虑其具体的实现技术(单步、多步、有无回滚、有无云协同)。
而自从有”主防“这个概念开始,关于如何定义主防的帖子就漫天飞舞,本来“互助分享”的坛友相互攻击,无休无止……
所以我实在无意参与进这样的论战中,也从未开贴阐述过我的定义。


这次楼主测试的是主防,而Emsisoft实际上是HIPS,所以本不应被测试,这点其实lz也说明了。
我相信lz在这里搬出Emsisoft只是作为对照,用HIPS来展示样本的具体行为。


此外,我上次的说法可能不是很准确,我去改一下。


我的定义关键点是,主防必须:
1. 自动抉择,无需人工干预
2. 报毒,而不是报行为

我上次的不准确之处在于,我说”那把HIPS设成一有可疑行为就自动拦截隔离的话,不就是主防了吗?是的,根据我的定义,它是主防了,但是是一个误报超级高的主防。“这句话的时候,我的意思是:
这种调整是由厂商来进行的,而不是用户。
这个意思隐藏在2.里面,因为:
即使用户手动调成“遇到可疑行为自动隔离”,在日志中你还是可以看到,HIPS是报行为之后隔离的。
这违反了2.,所以用户调整后的HIPS不是主防。


以下就是更加私货一些的理解,只是整理一下这两天我的思考:

按照我的理解,第一点意味着主防必定是评分型的,一旦分数超过阈值,就会报毒。
而因为是评分型,所以符合此定义的主防应当是多步的,不然何来分数累加的过程呢?(当然,这不排除某一个单独的行为就能超过阈值,比如试图结束杀软进程之类的,蜘蛛的注入防护可能也是这种)
也正是因为其是多步的,所以它报毒的依据是多个行为加起来的效应,理论上其报毒的时候应该报告是哪些行为加在一起使得它报毒,而不会报某一个行为(定义关键2.)。
然而,可能由于增加病毒制作者过主防的难度、保密性或用户友好性等缘由,目前有主防的杀软都是通过一个别名来称呼这一系列动作,例如AVG的“IDP.XXX"。

这就是我说的第二点的确切含义,也说明了如果HIPS厂商想要成为(我定义下的)主防厂商,它们的可能做法。


至于为什么我选择这样的定义……纯粹是因为它好用。
一个新的定义最重要的地方就是使公认属于集合的元素在新定义下仍属于集合,而公认不属于的仍不属于。
在我的定义下,至少:
BD(ATC), AVG(IDP), SEP(SONAR), Kaspersky(System Watcher)这几个公认的仍属于主防。
COMODO, SSF这几个公认的仍不属于主防。

其他的,我还没有对照定义来进行分类,有兴趣的坛友可以试试,然后看看能否举出反例(注意,反例的前提是公认性)。
如果有的话,那这个定义还可以更改完善。
猪头无双
头像被屏蔽
发表于 2017-1-5 10:34:18 | 显示全部楼层
小小瞻 发表于 2017-1-5 03:29
(七)费尔智能杀毒8:被2个样本加密。费尔拥有HIPS模块和主防模块,个人认为“费尔动态防御”弹窗才是主防 ...

谢谢,费尔报suspicious就是入库了,只是没有具体分类。

启发的话一般报hure开头
諾言敵不過時間
发表于 2017-1-5 10:37:51 来自手机 | 显示全部楼层
Vincent丶007 发表于 2017-1-4 23:50
楼主可以试一下适当勾选多条默认规则的VSE,,  以及comodo  看看效果如何,

入沙基本都被歸類於Miss,然而comodo表示他的防禦就是來自於未知入沙與D+來創造無毒環境,這與這些帖子的判定有所出入,所以還是別測comodo了。。。。。
a445441
发表于 2017-1-5 10:38:29 | 显示全部楼层
支持楼主测试
linzh
发表于 2017-1-5 10:40:15 | 显示全部楼层
小小瞻 发表于 2017-1-5 05:57
(九)ESET Smart Security:被3个样本加密。      
ESET作为一款启发优秀、没有主防的杀软,面对恶意软件 ...

这个ESET咋一看诶呦喂好像还不错,只被过了3个,
然后仔细一看,发现只有三个扫描miss的
ESET没有主防还真是一大个遗憾啊,这么好的启发
猪头无双
头像被屏蔽
发表于 2017-1-5 10:42:44 | 显示全部楼层
zfc234 发表于 2017-1-5 04:46
因为现在电脑基本上都要联网,如果本地主防没有防住,多一道云还是蛮有必要的。当然,本地主防能防御成功 ...

但是FS现在矫枉过正了,连DG的规则都主要靠云端判断了。尤其是最新的个人测试版
linzh
发表于 2017-1-5 10:52:24 | 显示全部楼层
本帖最后由 linzh 于 2017-1-5 10:56 编辑
jiangz1234 发表于 2017-1-5 05:33
我不赞同你关于EMSISOFT IS的测试,又是一个主防与HIPS分不清的家伙。

你所说的Emsisoft拦截率取决 ...


话不能这么说啊
虽说主防和HIPS之间一直存在争议,但我偏向理解为“主防”和“HIPS”是两个完全不同的东西
主防相当于大脑,HIPS相当于你的身体,别人叫你干什么的时候,会经过大脑,来分析“我到底该不该干这件事”,这才是主防干的,HIPS只是把所有的东西汇报和听命罢了,”一律不听“这并不是有智慧的”大脑“处理后的结果,所以这不能叫做主防
否则的话那趋势的高安全性,卡巴斯基的受信任的应用程序模式,不都是无敌的了,拦截率100%,那还测什么?
Emsisoft应该更像是一个HIPS而非主防
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 23:37 , Processed in 0.107015 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表