搜索
楼主: B100D1E55
收起左侧

[分享] 安全软件测试的要点和谬误(系列1+系列2)

  [复制链接]
黑衣~魂
发表于 2017-5-28 16:57:11 | 显示全部楼层

想當年Dr.web也是以類似LZ的論點退出主要的評比機構
linjuncpu
发表于 2017-5-28 17:57:39 来自手机 | 显示全部楼层
强烈支持楼主科普,别管什么坑不坑的 :)
韶先队
发表于 2017-5-28 19:38:15 | 显示全部楼层
楼主的数学建模功力一流啊
坏料
发表于 2017-5-28 20:43:02 | 显示全部楼层
楼主文章太长,读不下去
B100D1E55
 楼主| 发表于 2017-5-28 21:59:49 | 显示全部楼层
fireherman 发表于 2017-5-28 15:47
所以……很怀疑某些安软的所谓“启发”;好吧,为免发生不愉快事件,直接点名,指名道姓……

...

这基本上就是各家设计哲学的问题。有的厂商倾向于“如果没法证明有罪,那就是无罪的”,有的厂商则相反。基本上我觉得后者在测试中更吃香一点,但实际使用来说前者可能更有参考价值。由于图灵机本身的限制,通过特征判识也无可厚非,更何况,有一些payload自己不会运行不代表不会被其他媒介利用(白加黑或者dll劫持都很典型),杀掉也是应该的。实际情况远比foo() bar()那个例子复杂
fireherman
发表于 2017-5-28 22:05:16 | 显示全部楼层
B100D1E55 发表于 2017-5-28 21:59
这基本上就是各家设计哲学的问题。有的厂商倾向于“如果没法证明有罪,那就是无罪的”,有的厂商则相反。 ...



嗯,说得对;

“如果没法证明有罪,那就是无罪的”,比较符合欧美法系:疑点利益归于被告(举证是控方的责任,辩方致要对控方的证据提供合理怀疑,且成立就是无罪)。

但是……我觉得杀软不能这么“仁慈”。

B100D1E55
 楼主| 发表于 2017-5-28 22:05:25 | 显示全部楼层
欧阳宣 发表于 2017-5-28 15:52
那么广度这种事在样本区就几乎不存在了,个数如此少,而且都是新的甚至是零日的样本,在其他条件不满足的情 ...

样本区明显偏向于新货……而我个人使用情况来看,要不是wannacrypt那种的,平时大多遇到的是已知威胁。当然我能理解有的人很看重未知查杀,毕竟谁都不想做第一受害者
B100D1E55
 楼主| 发表于 2017-5-28 22:10:58 | 显示全部楼层
fireherman 发表于 2017-5-28 22:05
嗯,说得对;

“如果没法证明有罪,那就是无罪的”,比较符合欧美法系:疑点利益归于被告( ...

无罪推定原则的好处就是低误报ESET非常典型了。做ML都知道只谈检出不谈误检就是耍流氓,我觉得从做学术的尊严来看,以无罪推定为出发点做到高检出带来的成就感更大。一些通过熵或者壳来检出的不能不说有些激进,但为了免责这么做也算能理解吧
fireherman
发表于 2017-5-28 22:21:36 | 显示全部楼层
B100D1E55 发表于 2017-5-28 22:10
无罪推定原则的好处就是低误报ESET非常典型了。做ML都知道只谈检出不谈误检就是耍流氓,我觉得从做 ...



可是……在样本区……

这种低误报经常“被利用”,好比我就瞄了你一眼,就说:你是个帅哥。

但其他安软,有理没理,第一时间大喊:脱!全部脱光!我要验明正身,看看你帅哥还是人妖。

虽然样本区不代表平常用户遇到的那么多病毒;最让我觉得无语的就是那些【篡改并锁死浏览器首页】的流氓软件(锁首木马);

ESET很多时候都会被过的;而在这方面(防锁首木马)BD、SEP、AVG、TrendMicro就做得好多了。

而更重要的是,目前病毒都走向极端(WannaCry就是悍匪的极端典型:明抢!)

但国内更多的是:劫持首页、偷跑流量、静默安装等小偷小摸的另一个极端:暗渡陈仓。

GreenCodes
发表于 2017-5-28 22:55:15 | 显示全部楼层
微软把应用商店做好点,比一大堆杀毒好使
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-21 12:42 , Processed in 0.042722 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表