质疑火绒那篇文章是我写的

Severn'

Karna 发表于 2018-8-8 02:33
不是卡饭的老用户，不过很认可安软是安全性和易用性平衡的产物。至于心理安慰，微软自己的windows帮助文 ...

看个人想法吧,我一直都是装的,不装全身难受,,我同事那种没装的 ,也没听他说中毒啥的,..这么晚还没睡啊

Picca

Severn' 发表于 2018-8-8 02:36
看个人想法吧,我一直都是装的,不装全身难受,,我同事那种没装的 ,也没听他说中毒啥的,..这么晚还没睡啊

现在的威胁很少能直接看出来了，不装安软，习惯极度良好的话，有可能安全。 晚上睡不着。

Severn'

Karna 发表于 2018-8-8 02:52
现在的威胁很少能直接看出来了，不装安软，习惯极度良好的话，有可能安全。 晚上睡不着。

现在版权意识提高了,几乎不用破解版,平时也就浏览网页论坛. 或者写论文跑工程软件用用. 这样看来,遇毒概率很小了

wangkaka

我提一点点建议。。你的文中用了两个人的病毒。其中pack那个是比较新的（或者说至少用了新免杀方法的）。t开头的那个大部分毒都是很老的毒了，所以会出现你文中说的查杀率忽高忽低，因为那个毒包中的毒太老了，基本各大厂商都入库了。你的样本变量没有控制。

KK院长

一看就是饭友写的，的确有些见解，但火绒还年轻，必须给他机会。。。

Jerry.Lin

Karna 发表于 2018-8-7 23:53
是，我的担心是这个样本测试，可能最后变成了单纯考验厂商的入库速度了。比如B100D1E55 评测的那样，要是 ...

入库速度也可以算在考量一个杀软的能力


之所以麻烦饭友们双击，就是为了考察一个杀软真实防护水平。先用静态扫描过掉入库的之后的剩余样本，可以说对于终端是完全未知的威胁了。这时候双击就可以看出诶你行为模型训练的怎么样，漏洞防护功能有没有起作用，IDS,IPS有没有识别到Bot并拦截等等…… 其实最重要就是看你杀软的防护机制使样本失效的数量和扫描漏掉的样本的数量之比，这时候其实可以较为清晰分辨出优与次。

至于卡巴云拉黑只拉Hash是为了降低误报这个理由我觉得是不成立的……像ESET的Suspcious Object同样也是快速拉黑。卡巴这种拉黑方法使大大降低了免杀的门槛。试想下如果卡巴市场占有率第一，黑客想免杀是不是改下MD5就可以了呢？反正云响应需要至少也要半小时，我每秒都能做出一个“新样本”，总会有第一批受害者的，所以MD5拉黑不靠谱。至于误报问题，不管是哪家厂商的拉黑，其特异性本身很强（就是说因为拉黑这个样本却报了另一个白文件的情况非常罕见），你见过BD的Gen.Heur.Cloud这个报法发生大量误报吗？并没有。这里面其实涉及到特征提取问题，稍微用心提取下表面静态特征，改MD5过也不会这么容易发生。现在卡巴的云报法是改MD5必定失效的那种……我也不知道为何采取这种策略。

前天包的（5）误报样本卡巴入库了（从UDS变成本地报法）……不知道什么时候能解除；卡巴的UDS其实也容易发生误报，不过确实是“光速”响应，比方说VT上的样本上传5分钟后可能就被拉黑了。

======================
再谈下入库

70%收集的样本（有时候会波动）收集时在VT上是已经有记录的了，但是非常新（1,2个小时之前被上传）。这时候在VT上的厂商都是有同等的机会去处理这个样本（当然抄抄门也是很可怕的，改MD5也同样能一定程度上避免这样的问题），怎么响应威胁也得看他们了。

对卡巴的确略有不公……不过对国产杀软恐怕更不公平吧……不过我一直找不到国内的毒源。我国网络环境特殊啊~

Jerry.Lin

Karna 发表于 2018-8-8 00:58
出现主防杀的原因难道不是 是较为新的毒然后修改了md5，如果用原毒，只怕是都杀的差不多了吧。时间的赛跑 ...

ESET成绩之所以这么出色，是因为PACKAGE里面挺多是“老样本”。
这里的“老样本”可以定义为3天之内出现的行为模式相同的样本，也就是说已经被ESET入库过的样本再重新混淆这类的。ESET的引擎性质决定了这种表层免杀是没用的，需要做到行为层上的免杀，对于黑客在短时间内也是非常困难的（可以看下B大的文章，里面有讲到ESET的动态分析，还是很强大的），但是这种混淆对于大多数厂商够了，至少有6小时的有效期，足够干坏事。所以现在变种越来越多了，黑客利用工具其实可以批量制作变种，成本很低速度又快，这时候ESET的优势就非常明显了，再加上近期ESET一直在加快云响应速度，成绩这么好看也是有理由的。

eset不是有个观点吗，他们不做主防，因为新毒一定会免杀。

完全新Pattern的毒，ESET一般识别不出来，响应能力确实比其他家慢，这就是E家的短板啦，所以现在才在加强云。至于说不上多步主防，我记得理由是误报和性能问题呀……

==============================
蛤蛤……你说的是那个Emotet吧……每次样本包都会碰到对不对？不过你应该发现后期的包每次只有一个了吧，是因为我在筛选的时候留意了下。这个常驻内存并外联的Pattern每天都能见到好几个新变种，可以说制造速度非常快；新样本上传到VT后检测率往往不超过20家，也可以说明某些厂商的技术真的是不堪一击……

嗯，确实少了“安全支付”这道防线，不过让个威胁常驻内存也不是什么好事……也不知道国外用户在网上支付时，开启安全支付有几个？毕竟易用性会降低（比方说插件用不了），而且安全支付默认设置是提示你要不要开启，以小白的样子可能看都不看就关掉了。多了一层保护机制是好事，这点在众测确实无法反应……




P.S 我语文不是太好，看起来有点费劲呐，望理解

Jerry.Lin

wangkaka 发表于 2018-8-8 06:54
我提一点点建议。。你的文中用了两个人的病毒。其中pack那个是比较新的（或者说至少用了新免杀方法的）。t ...

你还是跟他说把

反正我解释不清了，也懒得解释，脑阔疼呐

https://bbs.kafan.cn/thread-2129302-7-1.html 63、64、67楼
https://bbs.kafan.cn/thread-2129414-3-1.html 26楼

以及这个帖子的下两层

www-tekeze

之前二次还是三次已给饭友公开说过我的样本来源，很简单，来自样本区置顶贴：https://bbs.kafan.cn/thread-1961624-1-1.html   具体无法说，因为涉及到大概五个左右网站。

对收集来的样本我只经过简单挑选，也就是比较MD5把重复样本删掉 (各网站也相互收集或叫借鉴吧，因此重复的非常多)，然后重命名排序，最后把后缀统一改成vir，以防饭友不慎双击带来损害。如果我私自改过MD5或加壳混淆过，在主帖里我都会明确给出说明，同时，我的样本类型多种多样，有PE的也有非PE的，有近期的也有几年前的，我认为这才能反映一款杀软的真实查杀率，个人以为更能反映这款杀软的实用价值，否则带来的可能更多是误导！！

www-tekeze

www-tekeze 发表于 2018-8-8 10:38
之前二次还是三次已给饭友公开说过我的样本来源，很简单，来自样本区置顶贴：https://bbs.kafan.cn/thread- ...

如果以我的样本包来看，火绒查杀率也没什么值得帖主大惊小怪，国产杀软里 (不加OEM引擎时)，火绒查杀率还处于上游，但没有云，入库肯定慢，得第二天更新后才能入库。

从帖主知乎文章里的6个柱状图看，火绒查杀率偏低但在正常范围内，到别家的肩膀吧，而另一个样本包测试只到别人的脚脖子，呵呵，请帖主别忘了，火绒成立7年，是国家正规注册的安软公司，如果这个反映的也能具有普适性、公正性，那我建议帖主到公安部去问责吧，提议吊销火绒的证书、营业执照等！