楼主: B100D1E55
收起左侧

[讨论] 多引擎真的靠谱吗?

  [复制链接]
B100D1E55
 楼主| 发表于 2017-10-2 20:58:27 | 显示全部楼层
wangkaka 发表于 2017-10-2 20:44
话说,我很好奇,avast引擎里就我测试来看,启发够呛(比较垃圾),机器学习没怎么看到应用(或许evo-gen这 ...

机器学习用没用到吃瓜群众看不出来的。Evo-gen从报毒名来看可能是广谱特征,所谓广谱特征如果提取的地方和方法不对误杀会很可怕(参考http://bbs.kafan.cn/thread-2103069-1-1.html 里面红伞的例子)。由于avast雇员数量不多,我相信这些个广谱特征正是机器学习自动提取的广谱特征。话又说回来,如果启发好的话可能误杀就会好很多了,但启发不容易搞好
B100D1E55
 楼主| 发表于 2017-10-2 21:01:12 | 显示全部楼层
PanzerVIIIMaus 发表于 2017-10-2 19:44
用WinRAR打包自解压就能让一堆杀毒软件报毒,三鹿灵QVM也可能会报这种包

必须的,除了永远蜜汁报毒的表层机器学习引擎外,很多一看到释放文件就开始喊是dropper
wangkaka
发表于 2017-10-2 21:03:09 | 显示全部楼层
B100D1E55 发表于 2017-10-2 20:58
机器学习用没用到吃瓜群众看不出来的。Evo-gen从报毒名来看可能是广谱特征,所谓广谱特征如果提取的地方 ...

确实看不出来,但evo-gen报毒就测试来看,越是新的病毒,evo-gen报毒就越多,倒是有点像启发,或运用了机器学习。然而启发,avast有明确报毒方式:名称后面括号heur这种。
B100D1E55
 楼主| 发表于 2017-10-2 21:14:47 | 显示全部楼层
wangkaka 发表于 2017-10-2 21:03
确实看不出来,但evo-gen报毒就测试来看,越是新的病毒,evo-gen报毒就越多,倒是有点像启发,或运用了机 ...

嗯,不过我觉得avast的heur引擎估计和一些靠heur吃饭的比起来不算深入
evo-gen估计里面就是流行样本的二进制特征集,这里关键在于特征提取的时候要和普通文件分清楚。例如黑客用某种编译器编译了样本,结果特征提取到编译器的输出特征的话就会一杀杀一家。靠谱的启发式就不会有这个问题,因为是靠行为判断和编译器基本无关,除非加了常见黑客壳(例如什么shikata ga nai)
wangkaka
发表于 2017-10-2 21:18:46 | 显示全部楼层
B100D1E55 发表于 2017-10-2 21:14
嗯,不过我觉得avast的heur引擎估计和一些靠heur吃饭的比起来不算深入
evo-gen估计里面就是流行样本的二 ...

小a的启发。。整个测试我就见过2次带heur的,小a误报基本也是evo这种报毒,说明小a毒库弄得离eset这种靠启发吃饭的差的远喽。
B100D1E55
 楼主| 发表于 2017-10-2 21:29:31 | 显示全部楼层
wangkaka 发表于 2017-10-2 21:18
小a的启发。。整个测试我就见过2次带heur的,小a误报基本也是evo这种报毒,说明小a毒库弄得离eset这种靠 ...

ESET报毒有时候太保守了,很难给一些用户带来“安全感”

我觉得日常选小a大概也够了,毕竟几轮AVC误报测试下来压误报也还行。但你也看见了,AVC的低误报和现实自己随便测测的结果是有差距的(但愿不要有人看到这句对我吼说什么普通用户又不像你写什么乱七八糟的程序)。从我个人角度来说,杀软报毒节操的重要性不比查杀率来的低,搞不清楚就会变成罗生门
wangkaka
发表于 2017-10-2 21:32:31 | 显示全部楼层
B100D1E55 发表于 2017-10-2 21:29
ESET报毒有时候太保守了,很难给一些用户带来“安全感”

我觉得日常选小a大概也够了,毕竟几轮A ...

小a的排名我觉得国际测试没问题,可以说很准确,这个误报在我这跟吃了激素一样,很多软件瞎报毒,我反正不认可avc的误报测试。。eset我还是蛮有好感的
bbs2811125
发表于 2017-10-2 21:35:34 | 显示全部楼层
B100D1E55 发表于 2017-10-2 20:49
我见到不少毒源最终鉴定/归类的时候都是用ESET的报毒名

我有一个学网络安全的同学,他们的课程里边就有研究ESET和卡巴的数据库的内容,我觉得这些不是巧合
cloud01
发表于 2017-10-2 21:35:56 | 显示全部楼层
191196846 发表于 2017-10-2 19:57
怎么可能库给别人用,引擎不给别人用?

像BD 的OEM,当然是连引擎组件一起带啊……怎么可能只有库。[: ...

你说的也对。不知道你有没有具体的这几个杀软库的数量数据?我想对比下选择一个。卡巴、bd、红伞、诺顿。
bbs2811125
发表于 2017-10-2 21:44:32 | 显示全部楼层
cloud01 发表于 2017-10-2 21:35
你说的也对。不知道你有没有具体的这几个杀软库的数量数据?我想对比下选择一个。卡巴、bd、红伞、诺顿。

每个厂家对于特征的定义是不同的,诺顿已经2kw+了,但是ESET就很少实际效果也差不多
所以看厂家的自己的数据也没太大作用。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-23 01:30 , Processed in 0.041113 second(s), 4 queries , MemCached On.

快速回复 返回顶部 返回列表