嗅探Microsoft的病毒扫描引擎

显示全部楼层 · 发表于 2017-2-10 12:05:15

月影天心发表于 2017-2-10 12:04
这个从哪里看的？

把特征库信息导出就可以了，之前我好像在MSE区发帖说过

显示全部楼层 · 发表于 2017-2-10 12:05:54

驭龙发表于 2017-2-10 12:05
把特征库信息导出就可以了，之前我好像在MSE区发帖说过

哦，我去看看

显示全部楼层 · 发表于 2017-2-10 12:18:38

驭龙发表于 2017-2-10 10:49
楼主这个最后一张图是本地，但我还是想确认一下，因为MA引擎中没有这个用户名的串符，VFS数据中也没有， ...

这个好办换一段真的恶意代码就行了

显示全部楼层 · 发表于 2017-2-10 12:18:44

现在都在搞免WD免杀啊。

显示全部楼层 · 发表于 2017-2-10 12:21:06

jefffire 发表于 2017-2-10 12:18
这个好办换一段真的恶意代码就行了

是的，所以刚才会问一下具体情况，并不是没有仔细看帖。

楼主已经说有空用其他代码测一下了

显示全部楼层 · 发表于 2017-2-10 12:39:30

本帖最后由 jefffire 于 2017-2-10 12:41 编辑

月影天心发表于 2017-2-10 11:40
“够用”，就是在日常使用电脑过程中，基本满足安全需求。
确实，cerber变种更新很快，问题是你日常使 ...

在当前云时代，我敢说几乎都已经入库了，即便运气爆表被0day利用或者被人社工搞了个新样本，估计很多情况下也被拉黑了，还轮不到主防什么事

我觉得还是要用客观代替主观，否则容易陷入幸存者误区。

看一看微软安全情报报告 vol20
http://download.microsoft.com/do ... lume_20_English.pdf

附录C 给出了2015年第三季度和第四季度世界平均恶意软件感染率（infection rate），前者是6.5%，后者16.9%。还有一个遭遇率（encounter rate）分别是17.8% 和20.8%。数据来源是MSE，WD以及恶意软件删除工具。

日常使用超过两成的电脑遇到过恶意软件，又有至少超过一成的电脑被感染，我觉得很难得出“估计很多情况下也被拉黑了，还轮不到主防什么事”的结论吧。

显示全部楼层 · 发表于 2017-2-10 12:59:33

楼主是想将wd的老底都揭起来

显示全部楼层 · 发表于 2017-2-10 14:47:42

本帖最后由月影天心于 2017-2-10 15:15 编辑

jefffire 发表于 2017-2-10 12:39
我觉得还是要用客观代替主观，否则容易陷入幸存者误区。

看一看微软安全情报报告 vol20

报告所说的没问题啊，每天当然有很多终端被恶意软件感染，这份报告统计的是终端遇到恶意软件的数量，并不能说明都是新生威胁，不仅是微软，你看任何一家安全企业发布的安全报告都是这样。
问题是在我们日常使用电脑的过程中遇到新生威胁，即未入库也未被拉黑的威胁的概率有多少？如果说100个人用电脑，你很不幸的成为第1个遇到新生威胁的人，那这概率可以去买彩票了，然而现实的情况不可能是这样，往往一个新样本出现到造成危害，基数都不会很高，往往还没完全传播开来就已经被上报拉黑或入库，不要看Ransomware变种速度如何之快，安软厂商如何疲于奔命，问题是你会因某款杀软的某些技术瓶颈，成为全世界第1个被新变种侵害的人么？这样的概率是多少？你可以说当然存在这样的概率，但请注意我们所说的是正常使用电脑、保持良好的使用习惯、做好入口防御的前提下，换句话说，微软每个月修复那么多系统漏洞，你实际遭遇的0day攻击有几次？微软报告中也说明了遇到恶意软件的终端超过两成，被感染的终端超过一成，这其实恰恰说明了当前大的网络安全环境是非常好的，遇到病毒的基数并不高，真正被病毒入侵导致侵害发生的基数就更低了，这正是网络安全技术尤其是云端技术的进步带来的相对安全的网络环境。当然，不怕一万，就怕万一，但事实就是这样，我们正常使用电脑过程中遇到的高危威胁，绝大多数都是已入库的，这不仅是我的感觉，我就职于一家千余人的单位，周围同事凡是懂点计算机安全知识的，还是大多数只知道装个360全家桶上网的，日常工作生活中真正遭遇无法被立刻识别的新生威胁几乎没有，而更多的人，一年到头也难以遇到真正的病毒威胁，当然，如果自己作死乱点邮件、乱上网、不及时更新杀软等等中了毒那就没办法了，实际上，任何一款杀软都能满足安全需求，卡巴就一定比WD安全？理论上是这样，但在每个不同用户的手中却要打个大大的问号

显示全部楼层 · 发表于 2017-2-10 15:16:12

本帖最后由 jefffire 于 2017-2-10 15:18 编辑

月影天心发表于 2017-2-10 14:47
报告所说的没问题啊，每天当然有很多终端被恶意软件感染，这份报告统计的是终端遇到恶意软件的数量，并 ...

我觉得根据微软这个报告的数据来源，感染率就一定程度说明了WD，MSE不能第一时间有效防护的几率。

这个感染率数据是怎么得来的？就是前期的监控没有发现，但是后期通过扫描发现的威胁（升级特征库后），然后统计得来的。

当然不能说被感染的情况百分之百都是因为防护失效。有可能用户自行排除了，也有可能前期没安装后期安装了，但是这个比例应该是不大的。

显示全部楼层 · 发表于 2017-2-10 15:24:47

本帖最后由月影天心于 2017-2-10 15:27 编辑

jefffire 发表于 2017-2-10 15:16
我觉得根据微软这个报告的数据来源，感染率就一定程度说明了WD，MSE不能第一时间有效防护的几率。

...

对啊，可以这样理解，其实不光是WD，很多杀软都存在同样的问题，无法有效第一时间发现新生威胁，不同杀软的技术高低可能会造成一定的数量差异，这无可避免。但并不意味着用WD就比用别的杀软要不安全。例如，卡巴整体实力无疑要强于WD，然而，在不同的使用者手中，卡巴应对威胁的效果就一定强于WD？我看未必。其实你也可以换个角度来看微软的报告，报告显示遇到恶意软件的终端超过两成，被感染的终端超过一成，这其实恰恰说明了当前大的网络安全环境是非常好的，遇到病毒的基数并不高，真正被病毒入侵导致侵害发生的基数就更低了，这正是网络安全技术尤其是云端技术的进步带来的相对安全的网络环境，那么问题又来了，在我们正常使用电脑的过程中，我们“有幸”会成为因杀软技术瓶颈导致被无法识别的新生威胁侵害的第一人吗？这样的概率与买彩票中奖的概率相比，哪个更大呢？

[技术原创] 嗅探Microsoft的病毒扫描引擎