楼主: B100D1E55
收起左侧

[分享] ESET的一些内部测试数据

  [复制链接]
Miostartos
发表于 2019-3-1 10:45:12 | 显示全部楼层

敲你!
xiaofeizei
头像被屏蔽
发表于 2019-3-1 12:25:55 | 显示全部楼层
B100D1E55 发表于 2019-3-1 00:02
快了,前两天刚放了新的测试版,主要是修复bug,说明距离正式发布已经比较接近

期待啊,另外我发现eset的监控反应挺慢的,不知道是真的慢还是通知层慢,扫描也是处理起来很慢
generalbasic008
发表于 2019-3-1 13:28:38 | 显示全部楼层
xiaofeizei 发表于 2019-3-1 12:25
期待啊,另外我发现eset的监控反应挺慢的,不知道是真的慢还是通知层慢,扫描也是处理起来很慢

以前很快的 ,好想现在变慢了 ,可能是连云的后果。
cect258
发表于 2019-3-1 19:46:13 | 显示全部楼层
这算不算大进步
B100D1E55
 楼主| 发表于 2019-3-2 00:12:01 | 显示全部楼层
www-tekeze 发表于 2019-3-1 00:25
B大,有空看看这个帖,因为将dll和主程序打包在一块,成了单文件版,E家就报释放器病毒了,但把dll与主程 ...

误报已经解除,他们处理这个还是非常效率的
估计是打包的特征命中了autoit dropper

评分

参与人数 2人气 +2 收起 理由
ziyerain2015 + 1 感谢解答: )
www-tekeze + 1 版区有你更精彩: )

查看全部评分

Picca
发表于 2019-3-2 03:26:46 | 显示全部楼层

事实是这些NGAV晕拉黑频率和速度不亚于传统AV厂商,我之前做的测试样本很多都是NGAV在VT上一开始不报没多久突然开始报了,有的还假惺惺地显示一个confidence level,有的库版本仍然显示是xx天前的,看上去似乎很牛X。这种偷偷拉黑又很不坦率的做法真是醉了

这还真是囧了,xx天前的那个VT信息,一度以为NGAV找到了传统大厂的突破点
照这尿性,别说突破了,这不还是走老路吗。最大的区别是客户端牺牲可靠性换点检测率,那几个传统大厂想做的话估计也不难
PanzerVIIIMaus
发表于 2019-3-2 18:42:36 | 显示全部楼层
generalbasic008 发表于 2019-2-28 21:56
ESET的沙箱一直没感觉到,难道就是高启发的沙箱?NG1是哪家 ,还不错嘛?

高启的沙箱大厂基本都有啊,就是火绒也有,不过是ESET有着突出高效而已
B100D1E55
 楼主| 发表于 2019-3-4 02:06:40 | 显示全部楼层
Karna 发表于 2019-3-2 03:26
这还真是囧了,xx天前的那个VT信息,一度以为NGAV找到了传统大厂的突破点
照这尿性,别说突破了 ...

如果把模型藏在云端(客户端放一个弱鸡模型),那么云端那个模型应该可以隔数个月侦测率依旧坚挺。一旦放到客户端的话黑产作者肯定不混淆到不报毒不罢休。所以不要指望什么客户端模型xx天不更新依旧坚挺,就算现在某些产品似乎能做到,也往往是通过牺牲误报率+小众光环

NGAV那套传统大厂其实都在做,只不过他们往往放在云端加强。客户端暴露太多侦测机制不仅见光死潜在误杀高还锻炼了黑客本地免杀技法给分析师徒增工作量。很多产品端点侦测和云端侦测系统基本算两套不同的机制(比如ESET基本就这样),因为傻瓜型客户端重点是查杀/误报可控而不是超强抗未知毒。我觉得客户端需要时常更新这点没什么值得羞耻的,云响应速度够快就好
B100D1E55
 楼主| 发表于 2019-3-4 02:15:07 | 显示全部楼层
xiaofeizei 发表于 2019-3-1 12:25
期待啊,另外我发现eset的监控反应挺慢的,不知道是真的慢还是通知层慢,扫描也是处理起来很慢

关于这点虽然我不能100%确定地说,但ESET扫描引擎对于不同PE的仿真深度似乎是动态控制。对于一些类型的PE扫描是秒过,有一些则会跑很久,而针对真毒处理更慢。我估计他们有一个多层匹配机制,初扫(比如仿真10000 cycles)的时候会尝试匹配是否有库内已知的可疑壳/混淆器特征或者档案文件特征,如果发现了会进一步加深仿真深度争取跑开核心指令序列进一步匹配,所以毒样本扫描速度极慢(仿真时间长)。

就实际应用来说,大概除了爱好者测试情况外电脑上很少会出同时出现几十个毒样本,所以扫毒慢总体不是问题。大多白PE要么会云跳过要么仿真初期没匹配到可疑特征就会结束。

评分

参与人数 1人气 +3 收起 理由
xiaofeizei + 3 感谢解答: )

查看全部评分

yy_waiwai
发表于 2019-3-15 12:02:03 | 显示全部楼层
感谢。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 09:33 , Processed in 0.101775 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表