ESET的一些内部测试数据

B100D1E55

85683213 发表于 2019-2-28 21:47
ESET 也是纯扫描啊，哪有跑沙箱？

NG1: AVIRA

你理解错了，ESET的成绩是云端的鉴定系统，不是客户端的侦测。至于友商的成绩应该是他们的终端产品扫描检测率。我倾向于认为这些都是NGAV而不是传统大厂，但具体谁是谁很耐人寻味。
如果ESET客户端锁库1个多月还能有这么高的检测率，那么那些病毒作者的水平可以算太差了，应该回炉重造。基本上按照ESET客户端扫描那个尿性，必须每日频繁更新库才能对付新的混淆（也就是每次更新日志里那一大坨kryptik和genkryptik），超过2天不更新就很危险。这种模式听起来很挫逼，但的确是控制终端误报最有效的办法。总的来说免杀客户端没什么值得炫耀的，东西都在本地找几个弱点就过了（除非是某些产品那种手动或者过于激进的HIPS，但是那种用户体验就很差）。免杀的主要难点在于如何突破云端鉴定系统，只有突破了云端系统才能有规模地传播扩散并获利。

这样一说乍看之下这个测试不是很公平，毕竟是云vs客户端。但因为这些NGAV大多宣称本地模型不更新就可以持续地检测新毒，这么搞也就是按照他们的PR标语测试罢了。事实是这些NGAV晕拉黑频率和速度不亚于传统AV厂商，我之前做的测试样本很多都是NGAV在VT上一开始不报没多久突然开始报了，有的还假惺惺地显示一个confidence level，有的库版本仍然显示是xx天前的，看上去似乎很牛X。这种偷偷拉黑又很不坦率的做法真是醉了

B100D1E55

generalbasic008 发表于 2019-2-28 21:56
ESET的沙箱一直没感觉到,难道就是高启发的沙箱?NG1是哪家 ,还不错嘛?

沙箱是云端的。

本地目前就是示意图中间那条emulation的精简版，不久后会加上顶上那个static ML，不过目前还没放测试版。

B100D1E55

xiaofeizei 发表于 2019-2-28 18:40
主防啥时候能正式出来我比较关心这个

快了，前两天刚放了新的测试版，主要是修复bug，说明距离正式发布已经比较接近

www-tekeze

B100D1E55 发表于 2019-3-1 00:02
快了，前两天刚放了新的测试版，主要是修复bug，说明距离正式发布已经比较接近

B大，有空看看这个帖，因为将dll和主程序打包在一块，成了单文件版，E家就报释放器病毒了，但把dll与主程序分开，E家就不报了。。

https://bbs.kafan.cn/thread-2143892-1-1.html

欧阳宣

ng6是cylance无疑了

ng3是我的新宠SentinelOne嘛猜的

powerwan

虽然看不懂，但是表示看着很高大上

Miostartos

B100D1E55 发表于 2019-2-28 23:37
有那么一秒钟我在想NG3是不是sophos

仔细想想还是不太像。
起码我测试的时候Sophos的AI引擎总体表现还是能排进第二梯队，没这么差。

Miostartos

欧阳宣 发表于 2019-3-1 03:19
ng6是cylance无疑了

ng3是我的新宠SentinelOne嘛猜的

SO有这么惨淡么。

欧阳宣

STCn1000 发表于 2019-3-1 09:17
SO有这么惨淡么。

说错了 NG2