ESET常见问题解答

B100D1E55

驭龙 发表于 2018-6-16 12:23
我反感觉得鸡肋的是规则部分，EB AMB完全也可以独立，或者在应用层关闭HIPS的规则，反正很久以前玩规则的 ...

我到现在还放着几条规则。倒不是防毒，主要是禁止一些程序关联自启动，还是很好用的哈

你周六还在上班吗

wangkaka

B100D1E55 发表于 2018-6-16 10:52
关于一些介绍的不同看法（我不是来踢馆的，只是说说我的看法，望楼主谅解）：

1. 监控漏毒：一直听监控 ...

其实监控漏毒和无法查杀可能是4.2那时的事，或者往后再推一两个版本最多不超过8。那时经常出现内核通信错误及查毒却无法杀毒。现在eset已经完全没有这些问题了。。然而还有很多人用4.2，却说eset监控漏毒。

B100D1E55

wangkaka 发表于 2018-6-16 12:39
其实监控漏毒和无法查杀可能是4.2那时的事，或者往后再推一两个版本最多不超过8。那时经常出现内核通信错 ...

原来是这么回事………………

renyifei

B100D1E55 发表于 2018-6-16 12:06
AMS几乎等效于自动主防，虽然运行原理不同。BD过了AVC不也完了？这种情况只能指望云端探针返回遥测数据， ...

先纠正一下，BD现在的主防是ATD
然后就是s没有回滚，假如能够假如回滚病毒的破坏行为就更好了
对于s是不是自动主防，我为什么会是文中的观点，因为有个主防测试中，只有开交互ESET能拦截，而AMS并没有展现出类似于主防的那种功能，这也让我不太放心，因为ams还是一种基于引擎的技术哈
个人观点

renyifei

B100D1E55 发表于 2018-6-16 12:06
AMS几乎等效于自动主防，虽然运行原理不同。BD过了AVC不也完了？这种情况只能指望云端探针返回遥测数据， ...

高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范，后者旨在通过迷惑和/或加密方法来逃过反恶意软件产品的检测。为了以防普通的模拟或启发式扫描无法检测出某个威胁，高级内存扫描程序可以在可疑行为和威胁出现在系统内存中时识别可疑行为并扫描威胁。 此解决方案对迷惑性极强的恶意软件也非常有效。
与漏洞利用阻止程序不同，高级内存扫描程序是执行后方法，这意味着可能存在它检测到威胁之前某些恶意活动已执行的风险；但是在其他检测技术都失效的情况下，该方法可以提供额外一层安全性官方描述是这样的，所以官方觉得AMS只能提供一层额外的安全性。而BD的重要技术之一就是ATD，卡巴的主防也是核心技术，假如BD卡巴是双核心杀软，而ESET就是一种单核心杀软，然后这些其它技术就是围绕着引擎展开的，综上所述，我觉得ESET的AMS并没有和主防有太多可比性

B100D1E55

renyifei 发表于 2018-6-16 14:00
高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范，后者旨在通过迷惑和/或加密方法来 ...

其实本质上就是主防……

因为无论是扫描引擎还是AMS都是判定程序行为的，和那些传统“主防”的区别在于，那些产品监控syscall，运行时记录对应行为然后打分。而AMS则是在运行前看内存里有什么行为，直接打分罢了。本质上无区别。也正是因为是运行前打分，所以不需要回滚（假定在恶意程序核心代码正式被执行前就能杀掉），如果杀不掉的就等于被过了也没什么好回滚的，大概就是这么个逻辑。缺点在于关键部位被杀掉之前的一些无关痛痒的副作用可能残留在系统。

所以我才说这个方法既独特又巧妙，实现了自动化行为打分，而且和一些自动主防比起来几乎是零误报

linkin502

我个人还是比较喜欢ESET的，而且也长期用。
在易用性上来说，我最喜欢的就是他对系统基本上没有什么拖累，这点实属不易。另外就是因为我很看重笔记本的续航，用ESET的话电池十分坚挺，这个也是很好的 。他们家的软件在新的win10上bug比较少，这个也很难得。其他的比方说avast他们家，经常会有奇奇怪怪的bug（前阵子组织win10升级，再早些时候刚刚整合IDP的时候也是各种bug，不过毕竟刚刚吃下AVG，整合也是需要时间的), BD各种奇怪的bug也不在少数(我个人都给他们汇报不少的bug了，而且BD也 赠送我好几次一年十用户的BDTS)。
防毒检测率什么的，单从用户的角度来看（我个人一向坚持认为杀软只是个工具，电脑是拿来用于生产或者娱乐的，不是拿来跑杀毒的），应该是足够用的了。 但是发现了病毒清除不了这个事情还是很蛋疼的。 我都遇到好几次了。一次是因为一个哥们的skype被感染了，感染过来的(那个年头老外还是很喜欢用这货的啊)， 还有一次是科室的同事给我考资料，从u盘感染过来的； eset十分灵敏，一下就发现了，每次都说病毒被删除，但是每次开机都还有(内存病毒)；最后无奈的卸掉eset请出微软家的WD，一下就清理干净了。 个人认为，eset在发现病毒之后清理病毒的能力上还需要进步。相比之下，我长期用过的其他杀软（WD， Norton，FSP， AVAST以及 Avira）都要强很多。

cloud01

我倒是觉得 ESET既然走上了 不靠行为主防的路，那干脆把HIPS做做好，而不是砍掉，主防也不是万能的，最靠谱的还是HIPS自己设置，现在ESET的问题不是搞不搞主防的问题，是对误杀的平衡考虑，要不要坚持保守路线的问题，左倾还是右倾的问题。

桑德尔

cloud01 发表于 2018-6-18 12:49
我倒是觉得 ESET既然走上了 不靠行为主防的路，那干脆把HIPS做做好，而不是砍掉，主防也不是万能的，最靠谱 ...

虽然ESET不靠主防，但是人家也不靠HIPS，人家是扫描撑起整片天，你强迫人家做好HIPS和强迫人家去做主防区别不大，既然根本就不打算大展宏图不如保持现状

cloud01

桑德尔 发表于 2018-6-18 21:59
虽然ESET不靠主防，但是人家也不靠HIPS，人家是扫描撑起整片天，你强迫人家做好HIPS和强迫人家去做主防区 ...

ESET的AMS 。防勒索、自保、漏洞利用保护的基础不就是HIPS吗，你让人家不管HIPS也不太好吧，日常维护还是要的，新的函数调用监控还是要跟新的，比如注入 ，比如注册表的修改启动，就有很多姿势，人家摸清了ESET监控的细节，ESET也需要不断更新啊。