#PACKAGE 0730

驭龙

B100D1E55 发表于 2018-7-31 13:38
我晕，超管肯定老早就知道现阶段个人版没有，只不过他也说这不说明未来个人版就一定没有。而你quote的几 ...

https://forum.eset.com/topic/15141-eset-endpoint-security-7-is-available-for-evaluation/?do=findComment&comment=79107
你自己去看，我问的是未来个人版是否有DTD，M管理员明确回复No

WhiteCruel

B100D1E55 发表于 2018-7-31 11:00
从试用dtd的情况来看，可能并不是云不给力，而是普通用户的云拉黑阈值比较高，判定为可疑的不会被马上拉 ...

这样啊，突然想起你之前的帖子说过，ESET这么做是为了压误报，不过这个拉黑阈值是不是也太高了？很多信誉危险的样本都不直接杀

WhiteCruel

驭龙 发表于 2018-7-31 09:20
是的，现在的云差一点，不过正在改进和强化

嗯嗯，ESET加油

B100D1E55

WhiteCruel 发表于 2018-8-1 03:37
这样啊，突然想起你之前的帖子说过，ESET这么做是为了压误报，不过这个拉黑阈值是不是也太高了？很多信誉 ...

信誉毕竟只是表层观测，实际情况远比这个复杂，高危信誉的不一定有害，反之亦然……感觉按照他们的风格绝对不会单靠信誉就杀
此外云鉴定应该有个优先级，不是所有样本都会马上评估。LiveGrid信誉系统和分析系统应该是分开的，客户端捕获崭新文件一般数分钟后就会出现信誉，而对应的动态评估不可能马上完成。估计信誉评估计算量小，自然结果也比较糙。所以看到信誉的时候对应文件还在云端动态分析队列里等待也是有可能的

WhiteCruel

B100D1E55 发表于 2018-8-1 06:46
信誉毕竟只是表层观测，实际情况远比这个复杂，高危信誉的不一定有害，反之亦然……感觉按照他们的风格绝 ...

原来如此，不过这种比较保守的策略对于一些传播广度较低的新病毒，检测速度应该要比光速拉黑的卡巴红伞等杀软慢一些吧，在遇到其他杀软几乎都报，唯独ESET不报的样本时，还是有点难受的

当然，ESET用较为谨慎的检测手段换来低误报，有利必有弊。可是我还是想同时兼得鱼和熊掌啊

B100D1E55

WhiteCruel 发表于 2018-8-1 09:37
原来如此，不过这种比较保守的策略对于一些传播广度较低的新病毒，检测速度应该要比光速拉黑的卡巴红伞等 ...

对，红伞之类靠本地静态特征提取+云端黑白查询可以把大部分运算分摊到客户身上，对于大多样本来说云端不需要跑动态就能鉴定，主要运算压力可以集中在对付每几个小时的模型更新上。这种方法貌似微软和avast之类也在用，但误报是个问题，包括卡巴等的光速拉黑也一样。

我觉得在卡饭待久了密集接触各种恶意程序后可能会有种错觉，觉得查杀率是唯一硬道理，遇到新恶意程序是常态，而忽视了更普遍的情况：现实中白文件被误报恐怕问题更糟糕，而普通用户遇到崭新/针对性威胁的概率没那么大。。。用户抱怨xx厂误报还会被批判是因为自己手脚不干净习惯不好，被批判“居然不会排除”，不是很搞笑吗？能保持低误报且还能自动查杀那种个人锁机/恶作剧样本的产品目前我还没遇到，普通消费级杀软终归只能保障多数用户的安全，身为用户能做的事情就是多多上报了

dtd这个技术其实和livegrid一脉相承，最大区别在于优先级和可控性，所以这种技术改良后下放给客户端完全有可能，只要把算力问题解决掉（比如可以把服务器端的emulation扔给本地做，服务器端只负责接收emulate后的特征然后进模型查询）所以我说现阶段消费产品不会有但不代表以后就不会有。dtd原封不动下放到消费级产品自然是不现实的，但这个模式本身可行且不少厂商都在往这个方向靠拢

驭龙

B100D1E55 发表于 2018-8-1 12:54
对，红伞之类靠本地静态特征提取+云端黑白查询可以把大部分运算分摊到客户身上，对于大多样本来说云端不 ...

虽然我非常希望个人版以后有DTD，可你没看61楼的回复链接吗？官方没有（目前）把EDTD添加到未来的个人版产品中，当然我希望官方打脸，以后个人版有ESET DTD功能

WhiteCruel

B100D1E55 发表于 2018-8-1 12:54
对，红伞之类靠本地静态特征提取+云端黑白查询可以把大部分运算分摊到客户身上，对于大多样本来说云端不 ...

你提到的微软和avast我用得不多，卡巴倒是用过一段时间，误报确实有，但个人感觉不高，印象比较深的是拉黑速度与误报处理速度，最快2~3个小时就能收到误报解除的邮件通知了，最慢也就7~8个小时。
ESET的误报解除速度我是没机会测试，因为到目前根本没遇到过误报文件。。。
PS：报QQ迅雷等为PUA的不算误报。

在卡饭待久了密集接触各种恶意程序后可能会有种错觉，觉得查杀率是唯一硬道理

这句话挺有道理，我认为普通的个人用户只要安装的是正规、知名度较高的杀软以及自己不作死（明明提示有毒还放行）的话，一般都不会有什么问题的。不过，谁叫我们卡饭里个个都爱折腾呢？

至于你说的用户抱怨杀软误报，不知道B大有没有逛过360的官方论坛，你说的这种情况在那里可以说是体现得淋漓尽致，基本上每天都充满了大量用户对误报的抱怨（是不是真误报就不清楚了），360因此被骂得狗血淋头的情况也不是没出现过（手动滑稽）

虽然龙大说官方已明确回应目前不会添加DTD，但个人还是挺期盼在未来可以感受一下它的强大之处，只要不在原来的基础上对性能造成太大的冲击就好。如果能做到像卡巴那样快速处理误报文件，误报高一点点也没关系。

WhiteCruel

驭龙 发表于 2018-8-1 13:07
虽然我非常希望个人版以后有DTD，可你没看61楼的回复链接吗？官方没有（目前）把EDTD添加到未来的个人版 ...

坐等官方打脸（自我安慰）

B100D1E55

WhiteCruel 发表于 2018-8-2 00:16
你提到的微软和avast我用得不多，卡巴倒是用过一段时间，误报确实有，但个人感觉不高，印象比较深的是拉 ...

360误报高基本是事实，不过不搞激进检测估计论坛上骂声会更多（而且反正免费产品用户容忍度更高）。

DTD当时官人的那句“未来不代表就不会有”肯定是指类似技术，而不是精确到当前这个企业版的设计。企业版的DTD肯定不会下放给普通用户，这个不用官人说都很清楚了，一方面是误报（哪怕实际上误报也不多），另一方面就是他们不会给用户提供这么透明的分析，否则对免杀者来说简直是天赐良机。

就我目前知道的信息，他们的这套系统包含多个鉴定组件，同时也有所谓next-gen厂商喜欢宣传的表层“AI”引擎，但综合投票系统比较严格所以误报控制的比较好。更多消息等他们正式发布了我再说吧