楼主: B100D1E55
收起左侧

[分享] ESET防勒索锁库测试

  [复制链接]
shenzxc
发表于 2017-5-20 20:04:24 | 显示全部楼层
感谢分享
而我到底是谁
发表于 2017-5-20 20:07:13 | 显示全部楼层
fireherman 发表于 2017-5-19 16:30
占位,求顶置。

测试环境:WinXP SP3(未打补丁)

算是意料之中吧,不过本来也没有完全指望ESET能给我什么固若金汤的防御,反正我是一直用最新系统的,常见的危险端口我也早就关闭了,所以虽然有点小失望但并不慌。
乐丿莫名其妙
发表于 2017-5-20 21:32:28 | 显示全部楼层
谢谢分享 话说ees6的防御能力如何?
klinxun
发表于 2017-5-20 22:24:09 | 显示全部楼层
驭龙 发表于 2017-5-20 12:22
如果不是为了控制误报,WD的行为分析和动态启发会大杀四方的,可惜为了控制误报,那功能都属于半残了

wd的性质决定了它不能激进。
B100D1E55
 楼主| 发表于 2017-5-20 22:42:17 | 显示全部楼层
驭龙 发表于 2017-5-20 12:22
如果不是为了控制误报,WD的行为分析和动态启发会大杀四方的,可惜为了控制误报,那功能都属于半残了

也不能说是半残,做安软的最大挑战之一就在于判断准确,如果一个检测方法大杀四方本身就说明检测方法挫。普通个人用户/中小企业客户端谁敢用那种anomaly detection
B100D1E55
 楼主| 发表于 2017-5-20 22:43:43 | 显示全部楼层
fehd 发表于 2017-5-20 13:01
用的没有更新病毒库旧版eav 吗

是啊
B100D1E55
 楼主| 发表于 2017-5-20 22:44:27 | 显示全部楼层
fireherman 发表于 2017-5-20 15:31
不是啊,Live Grid就是“文件信誉系统”,提示文件的风险程度的。

我的意思是勒索软件防护模块的监测一个环节是通过live grid来查询信誉
B100D1E55
 楼主| 发表于 2017-5-20 22:45:46 | 显示全部楼层
erui 发表于 2017-5-20 15:43
那是不是就ESET的 10 版本具备这些功能,
ESET  7、8、9 版本,包括有些网友还在使用 4.2 版本,
就没有 ...

ESET在5.2之后都包含AMS,但其他例如exploit blocker之类的功能应该是更后续版本才有的。我之前用EAV8测的时候看了一下,基本功能都算有,但只有10有基于HIPS的勒索软件防护功能
275751198
发表于 2017-5-20 22:51:23 | 显示全部楼层
eset的防勒索hips是否就是锁死特定文件夹
B100D1E55
 楼主| 发表于 2017-5-20 22:52:25 | 显示全部楼层
ccboxes 发表于 2017-5-20 18:26
话说内存扫描应该也不是ESET的独有技术吧。相比其他安软的内存扫描,有什么独到之处呢?

这点ESET的确没有披露太多细节,但很多安软内存扫描是on-demand的,少部分内存监控似乎也仅仅是字符串/简单特征匹配(估计出于性能考虑)。
ESET宣称AMS会对每个进程的内存操作都进行监控,新建内存页的时候会内存内进行启发扫描(我猜是基于某种特征的静态启发,杀变种应该效果很好,杀新东西就不好说了),而没有修改的内存页会通过缓存机制减少性能影响。从我目前看到的情况来看,不少安软并不具备实时内存监控+启发侦测的能力,扫描被过了之后大多走的是运行时API行为监测路线,检测模型不好的话误报率可能是个问题。如果找到更多AMS的资料再补充
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 19:59 , Processed in 0.095120 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表