eset老版本究竟还能不能适应新威胁

wangkaka

eset新版本已经到11了，不过版区内很多人都在用4.2版本，甚至4.2版本的eav，但在我最近的双击测试中，我觉得用4.2版本以及用eav而不是eis或essp是对自己电脑安全的不负责。。
4.2eav版本与现如今11eis版本的一些差别：
1.缺少hips这一个组件：
   一.自我保护：hips组件让eset的自保加强了不少，现在版本不会出现以前的eset组件被破坏，弹窗(内核通讯被破坏）了。
   二.智能模式：hips智能模式，eset的智能模式有自己一套内置规则，可以拦截一些高危行为，测试样本时，这一组件还是有不少效果的，拦截一些高危注册表修改，拦截破坏系统文件等。
   三.高级内存扫描：这个就不用细说了，就我测试新病毒看，他的重要性不亚于卡巴斯基的系统监控，bd的ATC，诺顿的sonar。虽然不是同一原理，但在面对新病毒（主要是同一家族病毒进行了高度的免杀措施），发挥了巨大作用，双击时拦截率并不低。
   四.漏洞利用防护：拦截漏洞（包括零日漏洞）攻击。
   五.勒索软件防护：这一个组件经过最近的一些调整，开始变得有点像行为防御了（当然，只针对勒索），报毒Beh，虽然这个组件现在依然不是太强力，但以后随着更新会越来越强力，而4.2版本则没有这个组件。即使是8.0版本，也没有这个组件（8.0版在hips中添加的防勒索规则与这个组件不一样，防勒索规则只是禁运一些容易被利用的系统进程，而这个勒索软件防护是真真实实的像一个“多步主防”了）。

2.缺少amsi高级扫描：这一个很大程度影响了windows8，10系统的安全性，使得现如今泛滥的js脚本，word漏洞攻击，powershell及windows脚本攻击得到了很好的防范。

3.缺少防火墙，僵尸网络防御，IDS组件：现如今脚本类攻击增多，很多利用js脚本，offic漏洞，powershell.wscript.cscript等脚本宿主攻击，eset因为保证误报率的降低，对这些自身没有威胁系统安全，通过上述方式下载病毒进电脑的脚本类入库是不积极以及较慢的，我在测样本时有的脚本类病毒3.4天后才入库，甚至有的到现在都不入库。对于这一类，eset主要通过防火墙，IDS组件进行拦截。然而eav缺少这一组件，防御能力大打折扣。

4.在清除病毒方面：大家都知道eset清除病毒是较为薄弱的，但4.2版本比11版本还要弱得多，我在测试11版本时发现，eset现在有一种类似卡巴斯基高级清除的技术，发现病毒已经感染系统，会要求重启电脑进行清除（ps:虽然后来重启也没清除掉，但4.2是没有这个步骤的，至少说明在新版本eset官方是不断加强清除能力的，用新版本不会错）。。

5.在性能方面：eset不断进行病毒库优化，内存优化，如果使用过11版本可以明显发现eset在日常使用时十分流畅，不比4.2慢，相反4.2版本在内存优化上是不如11版本的。

6.模块组件的新旧方面：4.2版本的一些模块组件（例如高级启发式组件）的构建日期是低于新版本的，可能是为了适应旧框架吧。


另外，据@B100D1E55  大佬称，eset可能以后还会加入application control功能，让我们期待吧。

驭龙

其实简单一句话，要用EAV4.2的话，还不如去用WD，缺少太多ESET的新功能和防御功能了，基本上就是个扫描器而已

wangkaka

驭龙 发表于 2017-11-26 09:57
其实简单一句话，要用EAV4.2的话，还不如去用WD，缺少太多ESET的新功能和防御功能了，基本上就是个扫描器而 ...

其实吧，eset纯粹的扫描也不见得比wd好多少。。为了控制误报，eset现在入库特别谨慎。

B100D1E55

新版必然是维护最勤快的，用win10这种迭代快的发行版就更不应该用老版ESET。比如最新的OneDrive按需离线功能老版的客户端就会有冲突，又例如v8虽然带有HIPS，但在最近win7上已经出现HIPS漏拦截一些行为的问题。

fireherman

B100D1E55 发表于 2017-11-26 10:17
新版必然是维护最勤快的，用win10这种迭代快的发行版就更不应该用老版ESET。比如最新的OneDrive按需离线功 ...

v8的确越来越多问题，我都升级到v10了。




但是HIPS规则的排列顺序全都乱套了…… 看着就闹心……

B100D1E55

fireherman 发表于 2017-11-26 10:24
v8的确越来越多问题，我都升级到v10了。

我之前还打算把规则导出XML然后导入其他机器，结果也乱套……ESET弄个规则（增量）导入导出会死吗

驭龙

wangkaka 发表于 2017-11-26 10:16
其实吧，eset纯粹的扫描也不见得比wd好多少。。为了控制误报，eset现在入库特别谨慎。

是啊，所以用ESET必须是11版，要不然还不如WD 4.12呢

驭龙

fireherman 发表于 2017-11-26 10:24
v8的确越来越多问题，我都升级到v10了。

10还不如直接11了，更爽的

wangkaka

fireherman 发表于 2017-11-26 10:24
v8的确越来越多问题，我都升级到v10了。

11多了amsi，还是很有用的，入11邪教吧

fireherman

驭龙 发表于 2017-11-26 10:42
是啊，所以用ESET必须是11版，要不然还不如WD 4.12呢

@B100D1E55   @wangkaka   


1，历史告诉我们……ESET个人版的【奇数版本】都是冏物。

2，我还在用Win7，没有AMSI。