AV-C: Malware Protection Test September 2017

bbs2811125

欧阳宣 发表于 2017-10-16 22:33
但是这和样本区的情况相差挺大的

确实如此，也不知道是为什么
而且ESET有个特点就是入库的节奏很平稳，不带着急的。有的样本vt上好多家都报了，等了一两天也没见入库，我都替他着急

欧阳宣

bbs2811125 发表于 2017-10-16 22:37
确实如此，也不知道是为什么
而且ESET有个特点就是入库的节奏很平稳，不带着急的。有的样本vt上好多家都 ...

急的东西会被suspicious object云拉黑的，不入库估计是双击能杀吧

bbs2811125

欧阳宣 发表于 2017-10-16 22:39
急的东西会被suspicious object云拉黑的，不入库估计是双击能杀吧

那个报法就见过一次，双击估计可以AMS我从来没试过，估计有奇效

B100D1E55

bbs2811125 发表于 2017-10-16 22:40
那个报法就见过一次，双击估计可以AMS我从来没试过，估计有奇效

个人以前测试的情况来看，大多情况过扫描一般双击都会被AMS杀，不过也遇到过一些烈性样本初扫过后10小时都不入库，然后跟官人说了才急急忙忙拉黑的他们似乎根据传播广度会有个优先级的区分

bbs2811125

B100D1E55 发表于 2017-10-18 12:07
个人以前测试的情况来看，大多情况过扫描一般双击都会被AMS杀，不过也遇到过一些烈性样本初扫过后10小时 ...

是这样的，他们对于入库并不急切，给人感觉都是把样本收集到之后整理排列之后再按优先级入库，这样的好处就在于病毒库结构很紧凑、更新量也会得到很好控制而不是盲目简单拉黑然后再整理。两种模式各有优劣，ESET现有的水准其实已经是非常棒了，尤其是误报控制。最近微软也开始云起来了，检出率提升不少误报也上去了，等新版本出来可以玩玩

PanzerVIIIMaus

基准线由于始终被针对而又恢复正常
话说我留意到腾讯（国际版）拦截率比比特梵德高了一点，然而腾讯的误报控制不良

c68111c

bbs2811125 发表于 2017-10-18 17:34
是这样的，他们对于入库并不急切，给人感觉都是把样本收集到之后整理排列之后再按优先级入库，这样的好处 ...

WD的入庫策略比較像哪一家?
我感覺跟ESET很像

bbs2811125

c68111c 发表于 2017-10-18 18:20
WD的入庫策略比較像哪一家?
我感覺跟ESET很像

是的，不过加入云鉴定之后感觉有点分道扬镳的意思
我觉得ESET后续会补充云的，就是不知道什么时候。可能思路上ESET还是比较希望达到无论离线在线都能拥有同样的保护力吧，这是一种倔强

B100D1E55

bbs2811125 发表于 2017-10-18 17:34
是这样的，他们对于入库并不急切，给人感觉都是把样本收集到之后整理排列之后再按优先级入库，这样的好处 ...

这一期样本比之前三月的要好一些。

如果offline detection和online detection的区别是带不带云扫描，而online protection是带云执行，那么ESET所有结果很可能是完全不靠云杀的，因为offline和online结果一样（也就是没有suspicious object），然后online protection增加的应该都是AMS，少部分防勒索。也就是说ESET光纯粹的本地模型就和一些带云厂商媲美，误报还极少
ESET误报低真是实打实，今年几乎每一期VC52筛样本都发现ESET不杀的几乎都是白（样本包发布一周后回溯结果），然后那些样本基本都被机器学习引擎或者A家BD系报了个遍。之前随便打了一个winrar自解压包又被QVM之类的报了一通

bbs2811125

B100D1E55 发表于 2017-10-18 23:07
这一期样本比之前三月的要好一些。

如果offline detection和online detection的区别是带不带云扫描， ...

所以，还是自己有底气才会这么做。反正我现在觉得ESET是一股清流，挺有个性的杀软。越来越喜欢这种风格了，处在云端的一种淡然。ESET自己的云也不是没搭建，livegrid应该就留了一个口子，只是不知道什么时候能够正儿八经的发挥作用。
微软已经开始沉不住气，这段时间感觉可以追追wd的动向了。诺顿和A系列的误报不想多说，反正机器学习就是双刃剑，越锋利就越容易伤到自己。作为观众，感觉现在的戏比前几年就比纯启发和主防有意思多了