Cylance v.s. ESET锁库测试（更新至11月??日）

iamLMH

B100D1E55 发表于 2017-9-25 23:55
是的。。所以我说不灵敏
测试的时候我都是手动让它detect文件夹一次，然后逐个双击过去统计的

除了管理员脾气好 一个个帮我排除误杀外。。似乎没什么好印象了

B100D1E55

iamLMH 发表于 2017-9-26 00:30
除了管理员脾气好 一个个帮我排除误杀外。。似乎没什么好印象了

lol，这正好是一个高查杀也没卵用的典型案例

iamLMH

B100D1E55 发表于 2017-9-26 04:41
lol，这正好是一个高查杀也没卵用的典型案例

删除太多腾讯家族的东西了，最后还是联系管理员，卸载了。
不过装这家伙的时候电脑真的挺轻快，几乎是用过这么多杀软后最快的了。就是block太蛋疼，有些block之后的几乎没有排除的迹象。

j2016

如果用eav的4.2版，有同样的效果吗

B100D1E55

iamLMH 发表于 2017-9-26 08:48
删除太多腾讯家族的东西了，最后还是联系管理员，卸载了。
不过装这家伙的时候电脑真的挺轻快，几乎是用 ...

估计他们目前的训练集根本没考虑到中国用户……性能和安全很难兼得。Cylance现阶段来看监控灵敏度、性能占用都没怎么调试好，UI反馈做的也不大行。我个人猜如果后期误报压下去之后检出就会和CrowdStrike静态差不多，成绩会比较疲软。
看Cylance马上要出个人产品了，大概会加入排除之类的功能。不过误报太高的话排除也没什么意义了

B100D1E55

j2016 发表于 2017-9-26 09:54
如果用eav的4.2版，有同样的效果吗

4.2没有AMS功能（每日测试中有不少都是AMS杀的），至少要5.2以上才有这个模块。
此外，10才有AMSI支持（是微软提供的一个脚本扫描接口，原理类似于AMS），所以最好是新版

iamLMH

B100D1E55 发表于 2017-9-26 10:15
4.2没有AMS功能（每日测试中有不少都是AMS杀的），至少要5.2以上才有这个模块。
此外，10才有AMSI支持（ ...

已经换回kis2018了，买的三年，目前看来没有什么更好的替代品了
继续忍耐突然飙升的读写，做软件仿真的又要求低误杀，学校自己都给的盗版，同时还要求性能和保护。。
大神还有更好的建议嘛。

B100D1E55

iamLMH 发表于 2017-9-26 11:10
已经换回kis2018了，买的三年，目前看来没有什么更好的替代品了
继续忍耐突然飙升的读写，做软件仿真的 ...

没有什么好的建议，选安全套装是见仁见智的问题。我个人比较偏爱低误杀报毒准的，所以一直用ESET+沙盘的组合，日常基本够用。但是ESET某些情况还是很吃性能的，不得不排除一些监控路径，而且杀小众/未知的国产毒并不是很给力

cloud01

不知道ESET漏杀的样本都是什么种类的 ，有哪些行为？

B100D1E55

cloud01 发表于 2017-9-26 11:57
不知道ESET漏杀的样本都是什么种类的 ，有哪些行为？

从目前来看不少是新的ransom，ESET对这类基本是靠(AMS)入库，主防我没测所以不知道近期检测率提升了没有。还有一部分是downloader，其他的我之后测试的时候留意一下。

ransom和downloader查杀偏低有可能是为了防止误报，其中后者恐怕是指望等毒下载下来后再查杀，所以我以前测的时候表层没杀但运行后杀比较常见。网页脚本或者是触发powershell的文档也类似，前者一般会下载payload，下载下来被杀挺常见的；powershell有不少是靠AMSI杀的，那个需要执行时才会显露真身并被杀。总的来说ESET表层扫描被过但实际运行时拦截的概率并不小。
不过从安全性来说杀downloader依旧很重要。如果downloader不杀，病毒作者可以轻易在源头更换多个payload来逃避查杀，这方面ESET一向是保守检测所以也没话说了只不过这种杀软只测扫描的话就很吃亏了，所以这个评测把AMS一起算了进来

另外，有些文件ESET侦测到了但默认不报毒，只会在开启潜在不安全的时候才会报（例如挖矿程序）。在和Cylance对测的时候才发现Cylance这种都是一路杀的，所以后来测ESET的时候把潜在不安全也开了，这样比较公平。