【05.29】#VirusPackage 5x + Modified Samples

bbs2811125

冰晶淑女 发表于 2018-5-30 09:06
Symantec不是symentec

这么仔细你是有强迫症么

www-tekeze

ELOHIM 发表于 2018-5-30 07:49
scep 修改过的还剩 1 4 5
原始样本却清空了……

企业版得控制误报吧，稍安勿躁。。

www-tekeze

191196846 发表于 2018-5-30 08:25
最讨厌的就是火绒这种态度

我收集的样本至少一半以上 的 loader 都是 macro 或者 CVE

为更好的时效性，快速拉黑只是当时的权宜之计，经过段时间收集整理，那肯定会根据实情分类命名的，这能不能看做也是种严谨呢？ 你也知道火绒的资源有限，而ESET都积淀几十年了，却非拿两者相比。。

Jerry.Lin

www-tekeze 发表于 2018-5-30 11:13
为更好的时效性，快速拉黑只是当时的权宜之计，经过段时间收集整理，那肯定会根据实情分类命名的，这能不 ...

那你认为火绒按照ESET的路线走下去能超过ESET吗？

虚拟沙盒/动态启发 技术也没多好，效率依旧不够高，检测率还是很低 ， 缓存也没做好

新技术也不用，云，样本自动分析系统，病毒库一天一更……这些东西说了多久都没解决

都融资3000万多久了，也不见什么进步……

唯一不多需要积淀的ML技术也不用（至少从报毒名和检测率都看不出来）



跟官人说多少次了，检测率不行

却总是推锅给样本，“你们收集的样本都是国外的，不准，我们做国内的”

采样偏差确实有，但也不至于因为这个检测率这么低

做这么久了，VT也不上，AV-TEST/ AV-C/ VB100 也不上（不要跟我说资金问题）

我想说：你（火绒）不参与任何测评，我们无法有参考得知你大概水平如何；我们自己收集样本测试，你说无法体现你产品真实水平。你到底要让用户如何了解你的能力和可靠性？



本人从路转粉转路偏黑……每次在火绒论坛提出质疑，总是会被官人怂会去，so
我也不想多说什么

www-tekeze

191196846 发表于 2018-5-30 12:08
那你认为火绒按照ESET的路线走下去能超过ESET吗？

虚拟沙盒/动态启发 技术也没多好，效率依旧不够高， ...

相同路线不行么，一条路线只能有一家走？ 当年数字上云，现在大家都蜂拥上云，同一条路线走的很多啊，但浮华过后也许才发现冷静太少，这个贴子看过了么，也不见你进去发个言，这个帖子的49~54L有火绒官方的一些看法，但只是人工智能、机器学习方面。。。云的话我也希望火绒尽快有，但仍然得考虑money的事，3000w还是1500w？？ 没搞错吧。。。

https://bbs.kafan.cn/thread-2123287-5-1.html

www-tekeze

191196846 发表于 2018-5-30 12:08
那你认为火绒按照ESET的路线走下去能超过ESET吗？

虚拟沙盒/动态启发 技术也没多好，效率依旧不够高， ...

你说“虚拟沙盒/动态启发 技术也没多好”，我在你这个贴里12L发问：“火绒的查杀率不高，但原始的能识别，修改后的也能识别，看来楼主的Modified对火绒无效啊。。”，怎么也不见你回复下？  https://bbs.kafan.cn/thread-2123988-2-1.html

火绒不参加评测，也没有国际版/多语言版，本来就是做的国内市场，而天朝有大qiang，没有流行开的国外样本不作为入库重点，既然资源有限那就专注于国内样本吧，另外，普通电脑用户选择杀软时很难去看查杀率，那是双击爱好者、杀软综合症患者看重的。。。

www-tekeze

本人从路转粉转路偏黑……每次在火绒论坛提出质疑，总是会被官人怂会去，so
我也不想多说什么

我也不想提什么质疑，特别是技术方面的，毕竟人家是专业人士，另外还有句话，家家都有本难念的经，某些时候多体谅一下吧，毕竟是免费软件啊。。

Jerry.Lin

www-tekeze 发表于 2018-5-30 14:28
相同路线不行么，一条路线只能有一家走？ 当年数字上云，现在大家都蜂拥上云，同一条路线走的很多啊，但 ...

……我没说相同路线不能走

那你认为火绒按照ESET的路线走下去能超过ESET吗？

理解下，我是说按照这样走火绒不一定能赶得上，需要超弯道走捷径

========================================

360走的是纯云化监测+主防的路，初期本地以OEM为辅，后期本地ML为辅

其云库是世界上最大黑白名单库之一，中国最大黑白名单库

正是因为其云&自动分析系统，才有了云智能HIPS+云智能防火墙 （easy use and efficient ）

试问下当时国内跟风的那些厂家，有几个做出比360更强的智能HIPS呢，有哪些追上360的检测模式呢？

这恰恰是其他厂商仿造不出来的，也很难追赶上的，（eg. 金山 ）


==========================================

那你能从火绒身上看出多少ESET的影子？火绒有多少项特点是跟ESET相近的？

动态启发 - 符合
强大脱壳能力/虚拟执行 - 符合
HIPS - 符合
极小毒库 - 符合

AMS ~ 多步主防

早前ESET因为 对云 不感冒，对于ML持保守态度，不跟风（当然我也没说这样不好），导致检测率一直在逐年降低

所以现在在威胁日趋多样化的情况下，ESET 在不断加强云端检测和云自动分析系统（ML），SO的报法比例开始增加

而我现在是觉得火绒在走ESET的老路，可以说基本一致没什么变化

既 虚拟沙盒/动态启发 为主，靠模拟执行侦测病毒变种等

但这种技术有缺陷，越是过分依赖越是明显

其一是对于未知病毒pattern仍然没有很好的办法

其二是对性能影响极大（消耗大量CPU资源，显著拖慢程序启动速度）


性能方面：看ESET多强调自家缓存做得好就知道了

再看看卡巴，端点几乎见不到这项技术了，绝大部分是静态机学的启发，行为/模拟分析的统统被移到云端了

为什么？

对性能的考量

卡巴在不同测试机构测试出的Performance的结果是基本符合，然而ESET在不同场合的情况是完全不一样的（可以看AVC和AV-TEST得出的数据 和 饭友的测试）

=====================================

是的，动态启发/虚拟沙盒也有很大的优势

但细想下

火绒现在在深入研究的，是别人几年前已经研究透的东西，是属于旧技术

容易追上吗？在动态启发技术趋于成熟的情况下，还有多少关键性，创新性，革命性的东西火绒能通过深入研发此项技术能得到的呢？

当然是有可能，但几率远比使用新技术来得低

当前的新技术其实可以特指AI了

虽然已被舆论炒得令人厌恶，但不得不承认的是，AI确实是未来的发展方向，不管放在哪个行业

人工智能/机器学习/深度学习 到现在都是一项未成熟的技术，既 缺陷仍然很大

缺陷大，误报高，就代表不需要用了吗？恰恰相反

她需要被改进

这也是近年来新兴安全厂商在做的事，无一例外都在提及ML引擎等相关技术并作为主打优势

老牌大厂，诸如卡巴，也在研究机学技术

然而火绒呢？对AI不感不冒，从技术白皮书看，重点仍放在虚拟执行沙盒，特征提取

我也强调这样并不是有错，但是一个没有足够积淀的安全新厂商，更应该去研究前沿技术，努力把握下一个技术变革的机会

而不是固守传统，毕竟你本来不属于传统时代



=====================================

火绒现在给我的感觉是一个没有技术积淀的传统厂商

要吃老本也没有，对新技术冷冷淡淡


我对其未来不看好

=====================================

你说“虚拟沙盒/动态启发 技术也没多好”，我在你这个贴里12L发问：“火绒的查杀率不高，但原始的能识别，修改后的也能识别，看来楼主的Modified对火绒无效啊。。”，怎么也不见你回复下？  https://bbs.kafan.cn/thread-2123988-2-1.html

火绒主打的就是虚拟沙盒，特征提取，要是这种修改MD5的小伎俩都能过启发，那火绒就不用做了……

我上面提及了，这项技术有比较严重的性能影响；个人观点是倾向于放在云端（现在卡巴在做的事）


所以我不看好其应用前景

Jerry.Lin

www-tekeze 发表于 2018-5-30 14:39
我也不想提什么质疑，特别是技术方面的，毕竟人家是专业人士，另外还有句话，家家都有本难念的经，某些 ...

火绒不参加评测，也没有国际版/多语言版，本来就是做的国内市场，而天朝有大qiang，没有流行开的国外样本不作为入库重点，既然资源有限那就专注于国内样本吧，另外，普通电脑用户选择杀软时很难去看查杀率，那是双击爱好者、杀软综合症患者看重的。。。

待更新

www-tekeze

191196846 发表于 2018-5-30 17:18
……我没说相同路线不能走

理解下，我是说按照这样走火绒不一定能赶得上，需要超弯道走捷径

哥们，不用写这么多了，简单点说，有多少钱办多少事。。。没有人会说云不好 (包括火绒官人)，在没钱建云的情况下，该做的事还得做，总不能说没有云那就先睡觉，等有钱把云建起来了，咱再爬起来干活。。


PS： 1. 天融信是个投资者，人家的钱不是投给火绒建云的。 2. 就算勉强把云建起来，就能弯道超车赶上别家么？ 几年后会不会三文不值一文贱卖给别家呢？？