楼主: B100D1E55
收起左侧

[分享] ESET云端Augur引擎的新检测机制

  [复制链接]
JTandGP2016
发表于 2018-9-8 14:43:22 | 显示全部楼层
我试用ESET NOD32 AV还是2008年奇虎360与ESET合作做活动的半年免费优惠版,个人体验就是:轻巧、不卡机、较快速、用了几个月感觉不错,比较不走运的是NOD32竟然把我在正版软件店花68块钱买的正版“星空娱动”代{过}{滤}理的《无冬之夜2》在安装过程拦截误报,导致安装未完成,这是真事,但是瑕不掩瑜,我用其它杀软遇到的误报还厉害呢,那某数字在2010年误报的game破解文件大多报为橙色风险,现在数字进步得比国内其他FREE杀软要强多了,生活不易=且行且珍惜+人生苦短=及时行乐。
WhiteCruel
发表于 2018-9-9 08:20:04 | 显示全部楼层
来晚了,支持支持,学习了
gaoshua
发表于 2018-9-9 23:49:08 | 显示全部楼层
新功能,学习一下
B100D1E55
 楼主| 发表于 2018-9-12 13:10:39 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-9-12 13:17 编辑
Karna 发表于 2018-9-8 00:45
给的测试样本数量较少,而且都是勒索,没backdoor、rat一类的。感觉除开沙箱内存检测的Augur并不能算 ...

我觉得隔了4个月的模型在严格误报控制下还能有这么高的检测率已经很强了啊……估计没提backdoor之类的是因为提到的几个当时都搞了大新闻,当然也可能有其他原因吧
B100D1E55
 楼主| 发表于 2018-9-12 13:17:06 | 显示全部楼层
JTandGP2016 发表于 2018-9-8 14:43
我试用ESET NOD32 AV还是2008年奇虎360与ESET合作做活动的半年免费优惠版,个人体验就是:轻巧、不卡机、较 ...

我记得第一次用eset是因为当时买了什么电子产品里面附赠了90天激活码……
Picca
发表于 2018-9-12 16:20:41 | 显示全部楼层
本帖最后由 Karna 于 2018-9-12 16:42 编辑
B100D1E55 发表于 2018-9-12 13:10
我觉得隔了4个月的模型在严格误报控制下还能有这么高的检测率已经很强了啊……估计没提backdoor之类的是 ...

也对,隔了四个月,这应该可以算针对性样本了,但对付勒索这种还是备份更管用,威胁企业的还有很多其他类型的病毒。对比后面内存侦测的,看来沙箱执行后检测还是很重要的,这一点资料上其实并没有展现出eset的特色
我主要还是想了解eset这个引擎有没有检出一些客户端小模型无法对付的高级威胁的能力,毕竟勒索这种其实技术含量并不能算很高。像后门远控,上次加白的那个dll,那个仅仅是广泛传播的国内白加黑的其中一个,可以想象针对企业还有强悍不少的样本。如果对于这种eset的大型模型都不能制造足够的免杀阻力,仅仅只是比客户端检测率高,那对付针对攻击到头还得靠企业环境的严格规则限制,这个情形下的控制误报在本小白看来更像是个借口。换个角度看,虽然很不愿承认,说不定数字那种互联网白名单策略更管用。。。
JTandGP2016
发表于 2018-9-12 21:56:28 | 显示全部楼层
本帖最后由 JTandGP2016 于 2018-9-12 22:05 编辑
B100D1E55 发表于 2018-9-12 13:17
我记得第一次用eset是因为当时买了什么电子产品里面附赠了90天激活码……

楼主你毕竟是大城市的人能买到,要么楼主经常旅游各大城市,楼主好福气。上次不好意思我喝醉了有点瞎写,失态的很,不会再失态了,我为上次失态抱歉。
JTandGP2016
发表于 2018-9-12 22:22:38 | 显示全部楼层
本帖最后由 JTandGP2016 于 2018-9-12 23:33 编辑
B100D1E55 发表于 2018-9-12 13:17
我记得第一次用eset是因为当时买了什么电子产品里面附赠了90天激活码……

德国的小红伞Avira好像是纯静态启发,静态检测好像是反编译,反编译只能猜对80%的代码,还有20%靠好运气,基因码是啥概念?是加强版静态启发吗?今年夏天试用Avira FREE av15036一个多星期,新界面扫描经常卡死,用根目录里的老Ui程序扫描就还好,卸后果断上卡巴KFA1800405i,但经常换更新源,还是小红伞FREE2013老版本好。ESET目前可能是个非常优秀的备选安软,其它av不太行就选它ESET.这只是我个人想法。
B100D1E55
 楼主| 发表于 2018-9-13 07:32:19 | 显示全部楼层
Karna 发表于 2018-9-12 16:20
也对,隔了四个月,这应该可以算针对性样本了,但对付勒索这种还是备份更管用,威胁企业的还有很多其他类 ...

那个dll没有加白啊。。我是不是上次表述太具误导性质了

不仅仅是误报问题,还有易用性。白名单这种东西也就大企业搞一搞,而且管理员工作负担还会增大,这种手段在SMB中估计都没法搞起来。

至于国内白加黑的问题,我觉得和他们研发重心有关。他们又不是傻子,这种东西肯定是知道的(之前也和官人确认过),但不牺牲易用性的话这种攻击对付起来并不是那么容易。360这么搞对应的代价就是冷门程序弹窗,而ESET不走这条路子。此外他们中国没有研发分部,自然没有国产对本土威胁那么精,这点看他们发布的研究报告就知道,基本是欧系威胁。这种地域差异和弱点每个产品都有,否则国产也不需要oem海外引擎去参加海外评测了,也不会对海外常见程序疯狂误报之类的
Picca
发表于 2018-9-13 14:11:20 | 显示全部楼层
B100D1E55 发表于 2018-9-13 07:32
那个dll没有加白啊。。我是不是上次表述太具误导性质了

不仅仅是误报问题,还有易用性。白名单这种东 ...

好吧,其实我相信白加黑这东西国外肯定也有。以前双击样本区的那个被卡巴保护不上的firefox应该就算是吧,https://bbs.kafan.cn/thread-2130436-2-1.html。在我个人的理解里,企业和个人的安全需求、对付的病毒传播广度是不太一样的,考虑到一些SMB对安全的不重视,EDTD这种会不会部署都难说。所以没考虑手工入侵0day啪啪啪的情况,光是这种widespread 白加黑就让云端的大模型犯难还是有些惊讶的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:47 , Processed in 0.119942 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表