关于防护灵敏性的讨论

xiuzhiguo

bd的病毒库基本上和卡巴斯基是一个数量级的
但是为什么卡巴的反应就没有bd这么灵敏呢
尤其是在杀not a virus那个类型的时候能明显感受到卡顿
但是bd就对这种边缘软件直接杀了（如果可以杀的话）
这是什么原因导致的呢

B100D1E55

这个问题感觉不好回答，要具体看扫描引擎做了什么。有可能是动态仿真导致的，也有可能是跑一些修复流程并没研究过

记录微笑

各家的策略不同吧
卡巴对破解的态度一向非常开放。
BD稍微严一点

xiuzhiguo

记录微笑 发表于 2019-6-29 23:43
各家的策略不同吧
卡巴对破解的态度一向非常开放。
BD稍微严一点

但是一个杀软两个防御机制这也太那个了吧

xiuzhiguo

B100D1E55 发表于 2019-6-29 23:14
这个问题感觉不好回答，要具体看扫描引擎做了什么。有可能是动态仿真导致的，也有可能是跑一些修复流程[:15 ...

bd也会先走修复再删啊
问题是警告的时间
卡巴就没有发现病毒就立刻警告
bd相对于就灵敏多了
是特征码查杀和启发优先级影响的？

Gollum

我之前也发现了，BD会优先卡巴下手https://bbs.kafan.cn/forum.php?m ... 85&pid=40602738

85683213

BD   没云
卡巴 有云

卡顿是启发、脱壳、和云延迟造成的结果
如果是not-a-virus，那肯定是你那边的云延迟，跟脱壳无关
卡巴不会把这种病毒码放在本地吧

BD 基本上都是用本地hash，没啥延迟

pal家族

把卡巴监控的智能模式关掉会快些。否则会故意延迟检测

温馨小屋

85683213 发表于 2019-6-30 11:08
BD   没云
卡巴 有云

谁说BD没云的，云杀一大把，但是BD可能会控制云杀时间，延时长了就直接miss

温馨小屋

BD在扫毒的时候也比卡巴快很多，在样本区有那个好几千个的毒包，卡巴的启发程度比较深，会跑动态分析，在B大的测试里也提到了卡巴能解析一些简单的免杀逻辑，但BD不行，所以卡巴的报毒里有一大堆HEUR报法，我觉得相对于启发的延迟来说UDS延迟根本算不了啥，何况卡巴在国内有cdn，就算在中国没有服务器的BD也可以秒报云杀，BD基本都是KD特征拉黑或者神经网络模型查杀，动态启发虽然也有但是似乎存在感不高，所以查询速度就变得很快。另外消耗时间的点可能就是走修复流程，卡巴和诺顿一样，默认设置下会首先尝试清除病毒修复系统，尝试失败才会直接删掉，在卡巴的扫描设置里设置直接删除的话会快不少，BD基本就是直接删除，很少会尝试修复流程，卡巴杀出来的很多都是有明确定义的，可以部署修复流程，但是BD这种大多数神经网络和KD杀的情况下似乎每个都跑修复不大容易
另外，似乎从6.0时代AVP引擎的性能就不大好

裂空我爱杰

温馨小屋 发表于 2019-6-30 12:08
BD在扫毒的时候也比卡巴快很多，在样本区有那个好几千个的毒包，卡巴的启发程度比较深，会跑动态分析，在B ...

学习到了。
我记得之前跟一个论坛朋友讨论过卡巴防御滞后性问题，当时还被喷云用户.......

温馨小屋

裂空我爱杰 发表于 2019-6-30 12:18
学习到了。
我记得之前跟一个论坛朋友讨论过卡巴防御滞后性问题，当时还被喷云用户.......

这个启发太深的问题还会导致卡右键，一卡卡几分钟，很令人窒息。。。

不过诺顿那个滞后似乎是真的云延迟，进程出现了好久都没动作然后特征杀了。。。

裂空我爱杰

温馨小屋 发表于 2019-6-30 12:25
这个启发太深的问题还会导致卡右键，一卡卡几分钟，很令人窒息。。。

不过诺顿那个滞后似乎是真的云延 ...

是的，我也发现卡巴有卡右键，但是点过右键一次后，后面就好了。
所以我不用诺顿，就小红伞、卡巴、BD换来换去。之前BD用了很久，结果免费版一会儿error现在又没法更新了。。。只好上个月换成小红伞....毕竟现在launcher也没了。占用也低了。
就是Avira的APC监控我也觉得很迷。。。
那个版主老大也是红伞，好几次他的红伞没扫描出我这边扫描出来了，有时候APC没反应，结果过了一会儿APC监控报了。。。流畅性确实不错。
至于卡巴。。。一直都是付费用户。。。

温馨小屋

裂空我爱杰 发表于 2019-6-30 12:30
是的，我也发现卡巴有卡右键，但是点过右键一次后，后面就好了。
所以我不用诺顿，就小红伞、卡巴、BD换 ...

BD我用了快三年了，一直感觉很迷，觉得BD程序员的能力堪忧，卡巴好一点但是PDM没有ATD那么猛，诺顿SONAR也是相当的脆，AdvML还一堆误杀，卡巴卡右键这个我不管右击几次都会卡，很令人窒息，现在我都不知道用啥好了，本来想入正卡巴结果看了五次激活我又窒息了

B100D1E55

温馨小屋 发表于 2019-6-30 12:08
BD在扫毒的时候也比卡巴快很多，在样本区有那个好几千个的毒包，卡巴的启发程度比较深，会跑动态分析，在B ...

关于这点我个人的观察是卡巴扫描方面貌似对动态分析倚重越来越小，他们白皮书已经明确说了扫描重心往类LSH的方向走，不知道这是好事还是坏事，但对性能应该有好处。至于BD的话现在的确是非常非常倚重静态检测，我做https://bbs.kafan.cn/thread-2151987-1-1.html二楼的测试的时候改样本改到火大，不过B-Have还在而且也有些用。只不过因为这年头样本量太大还是自动加静态特征日子比较好过，测试成绩也好看

所以对LZ这个问题我现阶段回答不来，按理来说卡巴和BD都在往静态方向走，因此不具体研究报毒那一瞬间引擎之类的到底做了什么估计没法得出确切答案

裂空我爱杰

温馨小屋 发表于 2019-6-30 12:35
BD我用了快三年了，一直感觉很迷，觉得BD程序员的能力堪忧，卡巴好一点但是PDM没有ATD那么猛，诺顿SONAR ...

卡巴5次其实还行了，3年里面其实也不会重装几次系统啥的....
而且真的封杀了客户服务态度也不错，第二次买118元3年真的实惠，KAV就更便宜了。
卡巴主要hips和主防都以病毒库为基础，自动模式下没防住就没防住了。。。所以我就火绒+KAV，自动hips=0哈哈哈。
（主要我还是喜欢双引擎，所以凑了个有沙盘和hips的山寨AVK哈哈哈）
不过有一点是对的，卡巴太依赖回滚了，单奔实惠加一个前端一点儿的确实安全一些。
PS.现在华军、中关村在线这种软件下载网站下下来的病毒和流氓软件是真的越来越多了。。。。

85683213

温馨小屋 发表于 2019-6-30 11:58
谁说BD没云的，云杀一大把，但是BD可能会控制云杀时间，延时长了就直接miss

BD 只会在运行时(ATD)和右键(on-demand) 使用云
实时扫描(on-access) 没有云

卡巴实时扫描才有云

静影沉璧

85683213 发表于 2019-6-30 17:13
BD 只会在执行时(ATD)和右键(on-demand) 使用云
实时扫描(on-access) 没有云

如何判断？
出现Gen:Suspicious.Cloud这类云杀报法是否就说明BD在使用云？

85683213

静影沉璧 发表于 2019-6-30 17:30
如何判断？
出现Gen:Suspicious.Cloud这类云杀报法是否就说明BD在使用云？

我是直接抓包来看(Fiddler)
而且我怀疑on-demand也没有用云，两年前我记得没有，云是只有写在ATD模块里的
我是最近看别人的文才写on-demand的

温馨小屋

85683213 发表于 2019-6-30 17:13
BD 只会在运行时(ATD)和右键(on-demand) 使用云
实时扫描(on-access) 没有云

前几天实时扫描刚云杀了一堆样本