质疑火绒那篇文章是我写的

www-tekeze

桑德尔 发表于 2018-8-8 11:05
ESET的报法可基本都是DNA杀，说明可以排除你说的不值得通杀的可能性

我已艾特了火绒官人，还是请专业人士回复吧，我也说了，可能真是火绒的病毒分析师偷懒。。。另：ESET不等于权威，更不代表真理，至于基因码，智量提取的也都是基因码，但这是ML提取的，只能说是某种提取的方式方法，而不代表价值就高，不代表就具有家族性、流行性等。

www-tekeze

火绒工程师 发表于 2018-8-8 11:11
感谢您对火绒的支持与反馈，您说的这个样本包能发我们嘛，我们再看一下~

好的，饭后我找一下，把链接给你。。

火绒工程师

www-tekeze 发表于 2018-8-8 11:24
好的，饭后我找一下，把链接给你。。

感谢~

桑德尔

www-tekeze 发表于 2018-8-8 11:22
我已艾特了火绒官人，还是请专业人士回复吧，我也说了，可能真是火绒的病毒分析师偷懒。。。另：ESET不等 ...

的确没有任何一家杀软等于权威，因为所有杀软都存在漏报和误报，但是相比之前ESET的特征提取算是国际上最强的一批中的一个了，何况假如ESET检测不靠谱，为什么那么多厂商喜欢借鉴VT上ESET的检测，另外即使你质疑的提取的特征价值再低，也远比火绒的拉黑高得多
至于火绒为什么仅仅是拉黑，我也很期待官方回复，看看是不是还是那句“有必要吗”

www-tekeze

桑德尔 发表于 2018-8-8 11:27
的确没有任何一家杀软等于权威，因为所有杀软都存在漏报和误报，但是相比之前ESET的特征提取算是国际上最 ...

拉黑方法确实很简陋，几乎不具备任何抗混淆能力，改个MD5就基本能做到免杀，我一直也都鄙视之。。。但家族性特别是流行性(危害性)，往往得靠威胁情报系统来反馈。。。维持拉黑原因静待官方回复吧。。。开饭时间到啦。。

谢新

桑德尔 发表于 2018-8-8 11:27
的确没有任何一家杀软等于权威，因为所有杀软都存在漏报和误报，但是相比之前ESET的特征提取算是国际上最 ...

其实理由有三点，其一，样本质量参差不齐，一般都是利用内部工具跑下看下然后快速处理。有的人懒或者追求片面查杀率错觉，引用同行结果或者干脆看都不看快读处理。。基本不会一个个认真分析，没啥好提特征的。其二，人力投入侧重点，会侧重优先自家危险情报系统的样本处理以及同行互换的样本通杀处理，其三 离散样本 家族特征不明显，短期抽取的特征码效果不好或者说对厂商而言价值不高。卡巴，eset是标杆，不可一同比较

Picca

191196846 发表于 2018-8-8 09:33
入库速度也可以算在考量一个杀软的能力

其实我的意思是，云拉黑只拉Hash主要还是为了提升响应速度，毕竟拉黑是补救手段。后面你也提到了eset响应能力确实比其他家慢，他的拉黑方法会不会影响了速度呢？
至于“卡巴这种拉黑方法使大大降低了免杀的门槛”这一点我认为是不成立的，我后面测试你也看到了，免杀的样本能跑起来小时内被再次拉黑，这种免杀管不了多大用处。至于你说简单免杀再次干坏事，不知道你想过没有，你的很多毒按你之前的说法是攻击企业的，是靠一些渗透手段入侵植入的。你觉得企业发现中毒了，是立刻威胁溯源，追踪传播路径，评估损失，堵住漏洞甚至蹲点抓人还是放任不管，继续中招？
这种时候真正需要的是对新毒的响应速度，而不是抗hash免杀。我不相信哪个黑客给某个企业造成了巨大损失，几个小时后正当企业在溯源找人的时候，再来一波正中怀中。

如果黑客铁了心要免杀eset，我不相信eset客户端的引擎真的扛得住，专门搞eset的花指令以前也听说过，要是真的像论坛的测试那样，各大测试里eset成绩就不会中游了。

入库速度确实能反映出实力，但真实世界中入库速度和拉黑速度，占比多少，和论坛测试的数据是完全不同的，无脑入库可以在你的测试中获得绝对优势，而你改hash的操作，却相当于废掉很多云了。

Jerry.Lin

Karna 发表于 2018-8-8 11:43
其实我的意思是，云拉黑只拉Hash主要还是为了提升响应速度，毕竟拉黑是补救手段。后面你也提到了eset响应 ...

“ESET拉黑方法会不会影响速度”这个我也不清楚……
至于ESET为何会在各大测试排中流，可能就是响应慢的问题？这个我也不清楚，也很难去考证

是的，你说的有道理。

确实如果要针对ESET也是可以的。但我认为要对ESET免杀相对于其他厂家更困难些，还是因为其引擎的高启发特性。现在本地端都有被针对性免杀的可能，所以很多对应的技术都放在云端，也就是说常说的黑客与白客之间“信息不对等”，这样的话等威胁真正传播开来，安全厂商就有途径可以做到快速响应。不指望本地端有查杀未知病毒的能力，但是能尽量提高黑客制造变种的成本就够了。

至于你说的卡巴，我觉得对于企业这种改Hash的小伎俩没什么用，这种个人收集的毒包去测企业的端点响应EDR也没什么意义；但对于个人消费产品，还是有意义的。当初收集这些样本的原因是为了尽量还原一个安全产品在遭遇未知威胁时的防御情况，改Hash是为了尽可能降低入库样本的比例和防止某些VT上抄袭的厂家（所以这样能一定避免无脑入库，比如说趋势铁壳抄抄或者信誉杀），以供大家双击测试。你也可以从这种测试得到安软的特性：卡巴端点响应能力快，BD的ATD作用很大，诺顿ML杀一堆，AVAST!的DeepScan和EVO杀，红伞的APC自动上传分析机制的强大等等；易或者可以看出恶意软件的发展趋势：例如反虚拟机反调试反沙盒已经成为常态，病毒爱装死个5分钟等等。这些都使这个测试变得有意义（当然对于误报是没有办法评估的，只能靠大家的日常体验）。

改Hash确实能废掉很多云，这也是我们常说的云安全的短板- 一条特征对应一个样本。我还是认为这种方式不靠谱。所以现在大厂也有应对措施，除了ESET，BD,WD的云拉黑同样也具有一定抗混淆手段，国内的360也有云QVM来补这个短板（误报高是事实），我记得卡巴以前也有UDS:DangerousPattern 这个不怕改Hash的报法，只是现在没了。

Picca

191196846 发表于 2018-8-8 12:12
“ESET拉黑方法会不会影响速度”这个我也不清楚……
至于ESET为何会在各大测试排中流，可能就是响应慢的 ...

但你很多的样本本质是针对企业的mi-guan收集的啊，测企业的端点响应当然有意义，KSN本身也是端点、个人共享情报的，其它云（私有云不算）也基本一样啊。我们先且不论有些毒在个人用户环境会不会真的表现行为，如果攻击对象不一致，对于个人来说那些毒会不会真的有害都难说。

“改Hash是为了尽可能降低入库样本的比例”改Hash只能骗过某些云，怎么可能骗过入库的样本呢？卡巴现在真正的入库早已变成了heur报法，云入库不算，加上主防行为流特征，这种你觉得会比eset容易免杀？

云安全的重要特点之一就是快速响应，抗混淆各家的策略是不同的，有的用相似性hash，有的小时级响应，“提高黑客制造变种的成本”如果是针对企业，估计什么客户端技术也是白搭，变种的成本你看看层出不穷的银行木马，针对企业只怕是难以让人却步，你看趋势这种企业专业户，不也是md5云拉黑吗？

当然我能理解你的努力，后期也会继续跟进测试，只是表达下对于这个测试与真实环境区别的看法。

Jerry.Lin

Karna 发表于 2018-8-8 12:44
但你很多的样本本质是针对企业的mi-guan收集的啊，测企业的端点响应当然有意义，KSN本身也是端点、个人共 ...

单单说扫描层面确实卡巴比ESET好免杀，但是PDM也没这么好过，行为大的直接杀了。

不过你也知道了一旦威胁成功运行，数据泄露的风险就大很多，无论对于企业还是个人来说，最好都是在执行前就将威胁拦截下来（扫描，恶意链接拦截）。只要是毒，都会对用户产生一定的危害性，很多PWS，Backdoor 都会对个人用户造成威胁呢

额，这个我应该说“改Hash是为了尽可能降低扫描侦测的比例”，抱歉；

至于是不是被安全厂商用mi-guan收集的，这个我只是举个例子，我前面也提到了我没有办法确认样本的来源

嗯，这种测试肯定跟真实环境是有差别的（包括遇毒流程等等），只能说尽力还原。当然有什么好的办法能让其“更真实”，请跟我说呢~

感谢支持~