ESET云端Augur引擎的新检测机制

JTandGP2016

我试用ESET NOD32 AV还是2008年奇虎360与ESET合作做活动的半年免费优惠版，个人体验就是：轻巧、不卡机、较快速、用了几个月感觉不错，比较不走运的是NOD32竟然把我在正版软件店花68块钱买的正版“星空娱动”代{过}{滤}理的《无冬之夜2》在安装过程拦截误报，导致安装未完成，这是真事，但是瑕不掩瑜，我用其它杀软遇到的误报还厉害呢，那某数字在2010年误报的game破解文件大多报为橙色风险，现在数字进步得比国内其他FREE杀软要强多了，生活不易=且行且珍惜+人生苦短=及时行乐。

WhiteCruel

来晚了，支持支持，学习了

gaoshua

新功能，学习一下

B100D1E55

Karna 发表于 2018-9-8 00:45
给的测试样本数量较少，而且都是勒索，没backdoor、rat一类的。感觉除开沙箱内存检测的Augur并不能算 ...

我觉得隔了4个月的模型在严格误报控制下还能有这么高的检测率已经很强了啊……估计没提backdoor之类的是因为提到的几个当时都搞了大新闻，当然也可能有其他原因吧

B100D1E55

JTandGP2016 发表于 2018-9-8 14:43
我试用ESET NOD32 AV还是2008年奇虎360与ESET合作做活动的半年免费优惠版，个人体验就是：轻巧、不卡机、较 ...

我记得第一次用eset是因为当时买了什么电子产品里面附赠了90天激活码……

Picca

B100D1E55 发表于 2018-9-12 13:10
我觉得隔了4个月的模型在严格误报控制下还能有这么高的检测率已经很强了啊……估计没提backdoor之类的是 ...

也对，隔了四个月，这应该可以算针对性样本了，但对付勒索这种还是备份更管用，威胁企业的还有很多其他类型的病毒。对比后面内存侦测的，看来沙箱执行后检测还是很重要的，这一点资料上其实并没有展现出eset的特色
我主要还是想了解eset这个引擎有没有检出一些客户端小模型无法对付的高级威胁的能力，毕竟勒索这种其实技术含量并不能算很高。像后门远控，上次加白的那个dll，那个仅仅是广泛传播的国内白加黑的其中一个，可以想象针对企业还有强悍不少的样本。如果对于这种eset的大型模型都不能制造足够的免杀阻力，仅仅只是比客户端检测率高，那对付针对攻击到头还得靠企业环境的严格规则限制，这个情形下的控制误报在本小白看来更像是个借口。换个角度看，虽然很不愿承认，说不定数字那种互联网白名单策略更管用。。。

JTandGP2016

B100D1E55 发表于 2018-9-12 13:17
我记得第一次用eset是因为当时买了什么电子产品里面附赠了90天激活码……

楼主你毕竟是大城市的人能买到,要么楼主经常旅游各大城市，楼主好福气。上次不好意思我喝醉了有点瞎写，失态的很，不会再失态了，我为上次失态抱歉。

JTandGP2016

B100D1E55 发表于 2018-9-12 13:17
我记得第一次用eset是因为当时买了什么电子产品里面附赠了90天激活码……

德国的小红伞Avira好像是纯静态启发，静态检测好像是反编译，反编译只能猜对80%的代码，还有20%靠好运气，基因码是啥概念？是加强版静态启发吗？今年夏天试用Avira FREE av15036一个多星期，新界面扫描经常卡死，用根目录里的老Ui程序扫描就还好，卸后果断上卡巴KFA1800405i，但经常换更新源，还是小红伞FREE2013老版本好。ESET目前可能是个非常优秀的备选安软，其它av不太行就选它ESET.这只是我个人想法。

B100D1E55

Karna 发表于 2018-9-12 16:20
也对，隔了四个月，这应该可以算针对性样本了，但对付勒索这种还是备份更管用，威胁企业的还有很多其他类 ...

那个dll没有加白啊。。我是不是上次表述太具误导性质了

不仅仅是误报问题，还有易用性。白名单这种东西也就大企业搞一搞，而且管理员工作负担还会增大，这种手段在SMB中估计都没法搞起来。

至于国内白加黑的问题，我觉得和他们研发重心有关。他们又不是傻子，这种东西肯定是知道的（之前也和官人确认过），但不牺牲易用性的话这种攻击对付起来并不是那么容易。360这么搞对应的代价就是冷门程序弹窗，而ESET不走这条路子。此外他们中国没有研发分部，自然没有国产对本土威胁那么精，这点看他们发布的研究报告就知道，基本是欧系威胁。这种地域差异和弱点每个产品都有，否则国产也不需要oem海外引擎去参加海外评测了，也不会对海外常见程序疯狂误报之类的

Picca

B100D1E55 发表于 2018-9-13 07:32
那个dll没有加白啊。。我是不是上次表述太具误导性质了

不仅仅是误报问题，还有易用性。白名单这种东 ...

好吧，其实我相信白加黑这东西国外肯定也有。以前双击样本区的那个被卡巴保护不上的firefox应该就算是吧，https://bbs.kafan.cn/thread-2130436-2-1.html。在我个人的理解里，企业和个人的安全需求、对付的病毒传播广度是不太一样的，考虑到一些SMB对安全的不重视，EDTD这种会不会部署都难说。所以没考虑手工入侵0day啪啪啪的情况，光是这种widespread 白加黑就让云端的大模型犯难还是有些惊讶的