查看: 9552|回复: 69
收起左侧

[讨论] 质疑火绒那篇文章是我写的

  [复制链接]
UBitch
发表于 2018-8-7 22:24:29 | 显示全部楼层 |阅读模式
本帖最后由 UBitch 于 2018-8-7 22:35 编辑



https://zhuanlan.zhihu.com/p/40563559
你们有什么问题就问我吧,我写这篇文章的本意是把知乎上那些一问推荐什么杀毒软件就说火绒的情况批判一番,适合自己的才是最好的
并没有刻意的去黑火绒

然后文中样本的测试结果都是我从样本区所有用户的回复里面选取出来然后自己做成图表的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
发表于 2018-8-7 22:33:26 | 显示全部楼层
本帖最后由 191196846 于 2018-8-7 22:37 编辑

你做图表给了我一点启发,目前众测数据已经整理完毕,择机发布。

既然包被用上,那就对样本来源做点解释,以后会再补充:

关于PACKAGE 收集的样本

样本都是最新的,VT内如果有记录的话不超过6小时,检测率不超过30Vendor,全部来自国外。因为是从单一平台收集的,开始时所以我有点虚他的广度性。但是翻翻VT后,发现很多收集的都是Hyber-Analysis, VMRay, THOR ATP Scanner, 这些具有一定响应能力的(沙盒)在线平台收集到的样本(在VT comment 区看到的);不难发现,是有专业人员每日提交样本在这些平台上,比如说安全厂商的Hunter等等;这些通常是被APT捕获的,可以说是有一定popular(至少有检测到攻击)。在筛查的时候我也留意了下,基本都是从常见的payload,比如说带宏的文档->powershell下载执行,或者漏洞攻击,当然这种malurl很容易失效,所以我就直接收集本体了。

至于所谓的检测率“忽高忽低”,跟样本时效有很大关系~,这点查查各Vendor信誉或查下VT的结果就可以知道了

UBitch
 楼主| 发表于 2018-8-7 22:40:33 | 显示全部楼层
191196846 发表于 2018-8-7 22:33
你做图表给了我一点启发,目前众测数据已经整理完毕,择机发布。

既然包被用上,那就对样本来源做点解释 ...

火绒只要能把AM-PPL技术支持了再把HiDPI搞好我就立马单奔它
Picca
发表于 2018-8-7 23:13:07 | 显示全部楼层
191196846 发表于 2018-8-7 22:33
你做图表给了我一点启发,目前众测数据已经整理完毕,择机发布。

既然包被用上,那就对样本来源做点解释 ...

单一平台,要是有些安软厂商知晓且监控这个,而有些不是,那结果不会受到影响?
Jerry.Lin
发表于 2018-8-7 23:22:06 | 显示全部楼层
本帖最后由 191196846 于 2018-8-7 23:26 编辑
Karna 发表于 2018-8-7 23:13
单一平台,要是有些安软厂商知晓且监控这个,而有些不是,那结果不会受到影响?

会,这是有可能的

不过我也提到了在其他主流威胁分析平台也有被收入,也能够一定程度避免这个影响

其实像那些评测机构拿的样本多半也是从这种平台拿到的,而且还是月度测试,就更不准了。

个人要拿到一个完全没有被发现的新样本是非常难的;那些活跃在各大威胁情报平台的一般都是企业的Malware Hunter,他们一般通过造 蜜 罐Honeypot 来捕获攻击,然后上传payload到这种沙盒平台(或者私有的)进行详细分析(IOC)
Jerry.Lin
发表于 2018-8-7 23:37:51 | 显示全部楼层
Karna 发表于 2018-8-7 23:13
单一平台,要是有些安软厂商知晓且监控这个,而有些不是,那结果不会受到影响?

额……其实样本在各大厂商都是有share的,在这种平台就更多了;VT有跟这些平台合作,某些安全厂商也有和这些平台合作,所以最后很难定位样本的来源。

从大家的测试来看,样本质量其实还算OK,至少能看见平常难得的主防杀/漏洞防御之类的,不过确实是一场与时间赛跑的比赛,任何时候都是。

如果有其他更好的方法可以避免这种影响,一定要跟我说呀
Picca
发表于 2018-8-7 23:53:29 | 显示全部楼层
191196846 发表于 2018-8-7 23:22
会,这是有可能的

不过我也提到了在其他主流威胁分析平台也有被收入,也能够一定程度避免这个影响

是,我的担心是这个样本测试,可能最后变成了单纯考验厂商的入库速度了。比如B100D1E55 评测的那样,要是单纯是入库速度,BD系,红伞,WD(这个的拉黑貌似是md5修改无效的),肯定有优势,但众所周知,误报就上去了。而像卡巴这种坚持先拉黑md5,限制扩散,后续认真排除误报入库的,成绩就不会很好看。
Picca
发表于 2018-8-8 00:58:55 | 显示全部楼层
本帖最后由 Karna 于 2018-8-8 01:03 编辑
191196846 发表于 2018-8-7 23:37
额……其实样本在各大厂商都是有share的,在这种平台就更多了;VT有跟这些平台合作,某些安全厂商也有和 ...

出现主防杀的原因难道不是 是较为新的毒然后修改了md5,如果用原毒,只怕是都杀的差不多了吧。时间的赛跑,其实很难区分拉黑质量的比重,因为拉黑本质就是一种拼速度的补救了。eset不是有个观点吗,他们不做主防,因为新毒一定会免杀。每次测试eset那逆天的扫描率,扫完就只剩几个了,这和那个理论其实是相悖的。

另外,还有个问题,也是这个众测数据的问题。那就是我们判断安软是否有效防护的依据,往往只是报毒,没办法判断恶意行为是否展开。比如我测的那几次卡巴对于银行木马,简直宽容到极点,但是MRG的 Online Banking 从2016年开始,卡巴每次都是满分,而其中跪过的不乏Symantec BD ESET AVIRA。另外,对于银行木马,卡巴其实是有安全支付来针对对抗的,这在测试里几乎无法反映

以上是我对于这些论坛数据的一些看法,有些唠叨,希望不要介意
Severn'
发表于 2018-8-8 01:51:43 | 显示全部楼层
Karna 发表于 2018-8-8 00:58
出现主防杀的原因难道不是 是较为新的毒然后修改了md5,如果用原毒,只怕是都杀的差不多了吧。时间的赛跑 ...

卡饭论坛每几年热门的话题都不太同,

最早之前HIPS区大热的时候,大家一直在纠结如何在安全性和通用性易用性之间的平衡, 几乎每个HIPS软件都有很多的规则包, 人人也都在讨论"普通用户"正常使用是否安全之类之类. 但是要安全,终会牺牲一些易用性,要易用性,总有绕过的办法

几年前换成了macbook,不装杀软,也不再去纠结HIPS,高启发之类的东西了.

今年又换回windows,第一件事就是跑回卡饭看看, 准备弄个杀软. 许多家都出了主防,AI, ML甚至DL等等. 但是还是始终有扫不到主防也不杀的病毒. 勒索出来的时候,这些杀软好像都不太给力?.查杀率漂亮固然心里安慰, 但是其实最新的样本, 在进入我们电脑里的时候, 大多数都能被杀软查杀了. 最后用了一堆大杀器和用着样本区查杀率很低的杀软的用户,中毒的次数和概率几乎一样.

我有个电脑小白的同事, 我看到他笔记本 啥杀软都没装,我问他你不怕中毒吗? 他说,现在谁还做病毒啊,弄病毒的都去搞手机短信诈骗了. 我问他不怕勒索吗,他说平时文档自动上传google drive, 中毒也没啥好怕的,学术报告都备份着.

或许, 现在装杀软真的是涂个心理安慰?
Picca
发表于 2018-8-8 02:33:57 | 显示全部楼层
Severn' 发表于 2018-8-8 01:51
卡饭论坛每几年热门的话题都不太同,

最早之前HIPS区大热的时候,大家一直在纠结如何在安全性和通用性易 ...

不是卡饭的老用户,不过很认可安软是安全性和易用性平衡的产物。至于心理安慰,微软自己的windows帮助文档也是建议安装防病毒程序,这是windows的特性决定的,是否管用,至少概率上看是管用的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 22:46 , Processed in 0.138555 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表