跟大家探讨：火绒的发的帖子

Jerry.Lin

既然都诚心诚意要讨论了，那么我就讨论下

不评价帖子中的样本，毕竟大家都是业余的，发自爱好去收集，已经很不错了。但火绒以这两个包来暗示“网友”提交的样本包均质量堪忧 这个点，显得有些苍白无力。

我自己有做一些样本的自动化收集工作吧。把半个月前开始向火绒提交样本，每次500个，后期到每次1000个

http://bbs.huorong.cn/thread-56062-1-1.html
http://bbs.huorong.cn/thread-56796-1-1.html
http://bbs.huorong.cn/thread-56970-1-1.html
http://bbs.huorong.cn/thread-57180-1-1.html
http://bbs.huorong.cn/thread-58121-1-1.html


第一个500x贴的处理时间花了15天……是你没看错……15天，而且还是在我三番五次如同老母亲般催促下，才终于把该入库的入库了，没有漏；后面的就比较快了，估计他们应该改进了处理流程。从处理的时间来推测，自动化是肯定有的，只是很弱，能解决一半左右提交上去的样本，剩下的还得靠人工确认，处理能力略显尴尬（不过这也说明火绒可能没有用“多引擎”去直接入库，这点是好的，至于能不能坚持下去先打个问号）

后面我想验证下样本的总体质量和有效性，遂发了这贴 Sample_Set_04.19-05.06_6688x，从饭友的测试情况来看，还是超出一点我的预期，结果能具有参考性

火绒未提交前的数据

=============================
Huorong Internet Security
火绒安全

Linux   690/3031         22.76%
Win     2239/3657       61.23%

Total   2929/6688        43.79%
=============================

还是由饭友评价，在这就不多说，进入正题

火绒一直有一个很奇怪的逻辑：不是很看得起业余人员做的测试，认为不能反映实际情况；是，业余测试比不上专业的，质量参差不齐，但火绒同时又不去参加一些正规的国际评测，例如VB100, AV-C, AV-TEST等（火绒已经诞生8年了）；且仍在不断劝说用户：“诶诶诶那些论坛测试都不行，我还是很强的”大概这个意思，打着以此衬托出自家引擎如何优秀，却又不想去参加“考验”的主意。这种王婆卖瓜自卖自夸的想法是根本行不通的，你怎么让消费者信服你的安全实力？就凭着自己非主流和干净不作恶的特点来博取用户对前几年国内安全行业野蛮式发展带来的恶果的厌恶感来做营销？这也是行不通的，因为你们现在缺少的就是对自身安全能力的证明，却又不厌其烦的自己给自己证明，这么做很难得到一些用户的信任，长久下去反而会起负面效果，你们也需要反思的是为何对你们冷嘲热讽的网友越来越多。

说到底，
还是差一个令人信服的证明自己有本事的方法

知道一次测评很贵，但也不要觉得参加测评就是为了营销，很浮夸，看不起。虽然一些正规的测评开始有堕化的趋势，但是测评仍是提供了与全球安全厂商同台竞争的机会；没有竞争就没有压力，火绒缺少的是来自友商的压力。测评是能带来的是最直接的数据上的正面冲击，能让消费者对产品的安全能力有个大概的预期，也能让厂商有动力去加快步伐改进自身的不足。火绒有点像是在闭门造车了吧，固然能坚持做安全的本心是好，但是也需要睁眼看世界，时代变化的趋势，不一定要追逐，至少不要被抛弃。

其实挺烦用没钱这个借口……只能说明火绒的商业模式仍有欠缺，回报率不高；不知道你们做toB能挣回多少，从目前火绒仍是中小企业的体量来看还是有些拮据（哦刚看到一篇文章，貌似toB挣得还不错，那就拭目以待咯），那该来还是要来，可以学习下国外友商的商业模式

========================================================

再说说火绒的威胁情报系统……对新威胁反应慢处理慢（可能是小厂没钱这个借口又要拿来用下）这个是不争的事实，拿GandCrab做个例子吧

应该是去年，GandCrab5.1 刚出的时候，感染形式是为 .js--> wscript--> powershell-->encryted 这个流程，火绒被过是一点提示都没有（包括HIPS）；开始流行有一段时间后，仍然是Trojan.Generic!HASH 拉黑处理，直到亲自去反馈才得到重视……

最近几个月开始爆发的GandCrab 5.2 就更夸张了，大概样本区已经出半个多月，每天都有好多个变种，火绒都是拉黑拉黑再拉黑就是没通杀，新变种就直接被过，直到 （我记得是饭友 学雷锋做人）直接向工程师反馈后才通杀得到重视，火绒应该庆幸有人反馈，因为一两周后就开始出现GandCrab5.2 对我国的定向攻击。


上面的例子来说明其威胁情报系统的弱势，在没云的情况下响应是可以用天来计算的，确实有很多地方需要改进。最后，希望火绒不要再发那种带有“我是清流，别人都是恶人；我的步伐没有错，别人都是随波逐流”这种暗示意味的营销文章了，看多了还真的会心生厌恶，火绒还需要更进一步明确自己的定位何在。







===============================================
刚好讲到国内终端安全行业，再吐槽下Tx。最近官网上摆的 中国专利奖 看起来牛逼哄哄哦，然后我看了一下 “一种文件扫描方法、系统及客户端和服务器”……多引擎实锤了，就这正则卡巴的能力，我也会。前段时间有个用户在跟我争TAV到底有没有对PE有启发效果，
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2146367&page=4#lastpost 32楼

这是样本的VT链接https://www.virustotal.com/#/file/df0eddea5aea614fa5b20649d4573cedcc160a2e56740e77e9237e3430082f61/detection

咋一看咦Tx报法里确实有个HEUR，好像真的是启发诶……直到看到BD的报法，报毒名正中央有个heur……哈哈哈又是正则表达式

管家这么多年，不见得有啥进步，拿着套BD壳的英文版参加测评然后说都是因为自研TAV，真是人渣中的人渣，我这等小屁民只有强烈谴责的份（哦好像还可以举报，只不过现在看来AV-C也就那样）；不过界面倒是越来越漂亮了。不愧为Tx，真是践行了“用心做界面，用脚做安全”的真理呀~

pal家族

我就喜欢这样讨论

iha40999

良药苦口利于病,忠言逆耳利于行。

小野泽悠贵

所以 火绒应该鼓动病毒志愿团的去收催样本

陈冠希丶

就算不走云查杀，也应该搞个类似云信誉之类的。

小野泽悠贵

其实 火绒的文章表示出来的一个问题是
样本包投入但回报太少 用户也没反馈有这个感染过

Jerry.Lin

Discuz!X 发表于 2019-5-8 23:05
其实 火绒的文章表示出来的一个问题是
样本包投入但回报太少 用户也没反馈有这个感染过

回报太少是他们自身引擎能力问题；

反馈没有感染  要看火绒覆盖终端的体量和范围，就现在火绒这个情报系统，就是被APT吊着打

renyifei

火绒工程师认为人均病毒专家奥，兄弟萌把专业打在公屏上

kim545

楼上还有说火绒垃圾的，毕竟免费产品要求不要太高