Cylance v.s. ESET锁库测试（更新至11月??日）

B100D1E55

68221281 发表于 2017-9-27 01:47
我倒是觉得他们本来就不干净，如果被当成PUP杀了估计也没啥问题。Cylance毕竟还是做国外的企业为主 ...

静态引擎通过文件统计特征来分拣，自然和传统那种特征点定位免杀不一样。但可以通过控制文件统计特征来免杀，需要一些特殊的工具。
已经有不少论文指出神经网络很容易被一些人所不易察觉的干扰信息所欺骗，相信原理类似的统计引擎也有相应软肋。每种侦测模式都有弱点，结合多种分拣手段进行统筹才是较优的办法，毕竟同时欺骗多个算法比只欺骗单个难度要大。
程序再怎么伪装，具体到行为的时候的确是更容易判断了。但行为判识也有很大的局限性。大部分情况下行为这个抽象层带来的信息仍旧有限（例如你侦测到联网但不代表一定是恶意的，就算侦测到异常agent联网，也不能完全确定其是恶意的，保守的厂商甚至为了压误报会等待恶意payload下载完成再清除）。好的侦测模型必然是统筹考虑多个特征进行分拣，但这同时面临鲁棒性问题。例如仅通过频繁文件读写来鉴定ransom误报会很大，如果是频繁文件读写+删除卷影备份则很有可能是勒索。然而，病毒作者很容易通过绕过一些被入库的行为关联来免杀，或者通过扰乱行为的上下文来扰乱一些靠挖掘行为前后关联进行判断的检测。
总之，一旦产品流行起来了，相应的对抗必不可少。能长久活下来的都不容易。我个人希望安全企业不要出现垄断现象，因为躲过多个产品侦测远比躲过单个来的困难。要是某一天某一家垄断了安全行业，那大概就是黑客的天堂了吧

B100D1E55

iamLMH 发表于 2017-9-27 00:18
没有杀cadence，cadence在我u盘上
只是杀了matlab后我不敢上u盘了

醉了，matlab也杀实在是说不过去

cloud01

再来支持一下，历史工程。

bbs2811125

ESET能坚持一个月感觉真是不错了，当时在AVC的启发测试里边ESET常年和avira撕得不可开交，不知道现在是什么个情况另外，一样的方式，火绒虽然也是机器学习，但是在样本区的表现相比cylance就有一定差距，不知道是不是因为样本库的原因

4rbjcczRZ

不相上下呀，关注后续看看，挺有意思的

B100D1E55

bbs2811125 发表于 2017-9-27 22:38
ESET能坚持一个月感觉真是不错了，当时在AVC的启发测试里边ESET常年和avira撕得不可开交，不知道现在 ...

火绒感觉走的和ESET是一条路子，刚好和Cylance相反，强调先展开行为再判识。其实我个人更偏爱ESET和火绒这种策略（Cylance的误杀你也看到了……）但是预执行仿真等都是大且复杂工程，弱点多，编程功底不行还会带来额外的漏洞使得系统更不安全，需要大量人力分析和经验积累。这点上统计引擎如果算法过硬+训练集好的话好搞定得多。火绒估计还年轻吧

以前稍微用过一段，感觉火绒的仿真还是很吃硬件的，如果不做缓存的话后台掉电是一些杀软的好几倍，好在它现在有了缓存。不过如果是经常做编译的开发者，因为大量生成binary，估计会成为相当大的性能拖累。这点ESET也一样，只不过ESET总体来说速度还行

B100D1E55

cloud01 发表于 2017-9-26 13:15
其实我是禁止一切注入系统程序 ，禁止一切启用powershell的   不知道现在直接加密 不经过系统程序 ...

没做过类似的统计，这个我还真不大知道。ESET官方有一些powershell加固规则之类的可以考虑用一用

cloud01

B100D1E55 发表于 2017-9-28 10:05
没做过类似的统计，这个我还真不大知道。ESET官方有一些powershell加固规则之类的可以考虑用一用

您继续折腾 ，越折腾知道的越多。

B100D1E55

cloud01 发表于 2017-9-28 10:06
您继续折腾 ，越折腾知道的越多。

这点的确是这样
ESET单奔还是得加一两条HIPS规则保护一下重要文件夹，今天锁库随手测的几个ransom都被加密了

cloud01

B100D1E55 发表于 2017-9-28 10:19
这点的确是这样
ESET单奔还是得加一两条HIPS规则保护一下重要文件夹，今天锁库随手测的几个ransom ...

ESET也就这点好，最惨也能保护好系统和数据。