Comodo的（多步）行为分析能力如何？

paink

        Comodo起于它的HIPS和网络防火墙，在互联网和操作系统发展的初期，这样的产品十分诱人。但时过境迁，随着时间、技术、资本的积累，Comodo已经远远落后于其他安全软件了，一部分人可以以个人习惯、爱好为理由，继续选择Comodo，但在整个安软梯队里，在市占比方面， Comodo进不了中上游，每个人都应该老老实实承认这点。
        虽然，近段时间， Comodo在沙盒上很有特色，效果也很不错，但沙盒更多依靠的是文件签名，甚至于HIPS的一般模式（安全模式）也是如此。这有点类似于前几年的情形：
        许多人认为靠毒库、特征码等识别病毒的杀软相对于靠行为检测、分析、防御的杀软，有天然不足，特别是在新病毒产生初期、0day……这些方面，把它们归为“传统杀软”之流。现在，Comodo太过依赖签名检查，反而更加类似于传统杀软的性质了，HIPS又有些式微，沙盒几乎撑起了大半片天，天天有人担心害怕签名伪造、白加黑、正规软件流氓内心……

        Comodo是要在沙盒之路越走越远，还是要回归主流？多多依靠“传统安全技术”杀毒防御？

        抛开上面扯得东西，对于Comodo用户，究竟如何认识Comodo在“传统安全技术”方面的能力呢？
        抛开签名检查和防火墙部分，Comodo的杀毒能力众所周知是很弱的，HIPS在行为监测上还是很不错的，这种能力可以应用到沙盒上面。但是，光靠监视检测在现在是不太够用的，Comodo的行为分析能力，尤其是综合行为分析、多步行为分析这方面的能力在HIPS、沙盒上怎么样？流传的智能HIPS、云行为分析什么的，大家应该十分想了解了解。
        问题是，我也不知道，所以邀请各位侃一侃，发表下看法。至于专业名词什么的我也没什么研究，大家从字面意思理解就是了。

con16

comodo未來重點還是沙盒和Viruscope

Viruscope感覺還有一大段路要走

ericdj

@HEMM
你怎么看

paink

con16 发表于 2018-2-17 14:08
comodo未來重點還是沙盒和Viruscope

Viruscope感覺還有一大段路要走

       Viruscope出现得比较早了，走了老远的路，表现却并不抢眼，装上毛豆，只看到hips、sandbox、firewall露脸，几乎都不显Viruscope和AV，还有那个用来充门面的网站过滤……
       沙盒如果以后还过于依赖签名证书检查的话，Comodo打脸的日子还会有的，虽然以前也不少。

黑暗的背叛者

毛豆现在主要业务是数字证书。安全产品的强项就在于云信誉和自动沙盒，也就是ccav的做法。HIPS是手动组件，哪来的行为分析。多步分析就是Viruscope，是监控、识别、回滚三位一体的系统。
毛豆的逻辑大体是怎么样的呢？先来一轮信誉查询，入库（包括云）恶意文件直接杀掉，不能识别的入沙，安全的放行，脚本还会额外跑个分析，接着就是防火墙和HIPS，根据规则设置来，而VC就是最后一道防线。这其实也是目前比较流行的做法。
个人安全毛豆国外还是有付费用户的，而市场占有率一直就那么点，企业市场则是固定的用户群。具体技术上则是很难分析的，大多数安全企业都有自己的专利技术。以前的毛豆被诟病的是杀毒的检出率，目前其实还行，而防护能力很优秀。
从防护效果上看，毛豆谈不上落后，反而靠前。从商业上来看，毛豆的公司很赚钱。从市场上来看，毛豆有自己稳定的用户群。
下一代安全软件的趋势是什么？我不敢妄言，个人猜想是在云端发力，大数据和机器学习相关，具备情态感知和威胁预测能力的新技术。

諾言敵不過時間

COMODO早就不只單靠簽名了，還得被入雲白名單
這雲白名單得是COMODO人工分析添加的。。。。
COMODO落後嗎？
落後的只是殺毒方面吧，論防禦不出BUG誰又能擊潰他呢？

HEMM

ericdj 发表于 2018-2-17 15:08
@HEMM
你怎么看

不会HIPS的人永远觉得COMODO是落后的.......毕竟不会自定义防护的人占大多数，在他们眼里，要他们参与就是落后，要他们自定规则就是落后，甚至要他们排除都是落后的，要一切全自动且不能误杀并占用还要低。
光靠HIPS就能撑起半边天，虽然COMODO的HIPS是有点停滞不前的感觉，都跑去搞沙盒去了，甚至砍了增强保护模式，拦截点变得更迷了......但并不妨碍COMODO的粗枝大叶型防护，前提是要会.....
本身沙盒就能拦截一些惹，所谓未知的统统入沙嘛.....有点迷...再加上也有点迷的沙盒内的主防，马马虎虎的防火墙，不出众的查杀引擎，默认的粗大上规则，巴啦啦网站过滤，巴啦啦命令行分析检测，构成了一个整体都比较........嗯......的防护~
艾玛！COMODO的发展方向..........原先是自定义防护（包含HIPS等），可目前就是自动沙盒。某段时间注重引擎，一度能与AVG的检测率有一拼，检测率很高的，可惜修复特......经过一段时间的努力后，彻底打回原形。然后开始折腾些有的没的，最后突然就开始猛补自动沙盒以及亲儿子CCAV惹~

评测那种浮云的东西，虽然.......嗯......不评价......

随便啦！我的想法就是不撤销HIPS，继续用！纯自动沙我就转学着用火绒。毕竟防护能力加上我自己很迷的规则测过了，还凑合的可以一拼，安静的很，几乎没弹窗，安全性也算是很强，这是我的蜜汁自信，虽然始终离我异常的目标极限防护控制有点远，日常足够惹。
虽然我平时所有防护都不开的........毕竟我的网络很神奇，明明我的CPU打了打折补丁也只能防护一项的，结果幽灵打折漏洞防护在腾讯某实验室测试的结果居然不管是蛋疼还是IE都能完美防护.....啥？完美防护！我的CPU和远古的BIOS防护不住的，那来的防护？ISP内裤监控控制天然防护？看到防护后，我放心惹！在内裤里充满惹安全但异样的味道！

结论！别人爱用不用我管不着，我爱用啥就用啥..........

ericdj

HEMM 发表于 2018-2-17 16:00
不会HIPS的人永远觉得COMODO是落后的.......毕竟不会自定义防护的人占大多数，在他们眼里，要他们参与就 ...

来一斤毛豆规则

paink

黑暗的背叛者 发表于 2018-2-17 15:22
毛豆现在主要业务是数字证书。安全产品的强项就在于云信誉和自动沙盒，也就是ccav的做法。HIPS是手动组件， ...

问题是：
毛豆产品本身 对行为检测结果 的分析能力如何？

不吹不黑，不说什么三位一体、一波一波、多少层防御……
不求名，只求实。
       毛豆总不至于检测监视了半天，只是查查签名、信誉，查查白名单、黑名单，只是按照规则拦阻一下，对软件行为监测的结果一点儿都不分析，全都交给用户定制规则，自己甩手小伙计，就在边儿上看看、查查，这不至于吧！
       我就想知道它本身的分析能力如何，云端分析在这方面给本地提供了多大程度的帮助。至于把新文件提交到云人工分析什么的，我说的不是这方面的东西，别误会。

諾言敵不過時間 @黑暗的背叛者

黑暗的背叛者

paink 发表于 2018-2-17 19:06
问题是：
毛豆产品本身 对行为检测结果 的分析能力如何？

关于分析能力。分析方法看它文档，然而具体的判断逻辑是不会透露给你的。具体效果是看测试，还没见过专门对毛豆VC的测试，一般都是做整体测试的。云端分析你去看Valkyrie，ccav的云部分就是这个。