关于防护灵敏性的讨论

xiuzhiguo

bd的病毒库基本上和卡巴斯基是一个数量级的
但是为什么卡巴的反应就没有bd这么灵敏呢
尤其是在杀not a virus那个类型的时候能明显感受到卡顿
但是bd就对这种边缘软件直接杀了（如果可以杀的话）
这是什么原因导致的呢

B100D1E55

这个问题感觉不好回答，要具体看扫描引擎做了什么。有可能是动态仿真导致的，也有可能是跑一些修复流程并没研究过

记录微笑

各家的策略不同吧
卡巴对破解的态度一向非常开放。
BD稍微严一点

xiuzhiguo

记录微笑 发表于 2019-6-29 23:43
各家的策略不同吧
卡巴对破解的态度一向非常开放。
BD稍微严一点

但是一个杀软两个防御机制这也太那个了吧

xiuzhiguo

B100D1E55 发表于 2019-6-29 23:14
这个问题感觉不好回答，要具体看扫描引擎做了什么。有可能是动态仿真导致的，也有可能是跑一些修复流程[:15 ...

bd也会先走修复再删啊
问题是警告的时间
卡巴就没有发现病毒就立刻警告
bd相对于就灵敏多了
是特征码查杀和启发优先级影响的？

Gollum

我之前也发现了，BD会优先卡巴下手https://bbs.kafan.cn/forum.php?m ... 85&pid=40602738

85683213

BD   没云
卡巴 有云

卡顿是启发、脱壳、和云延迟造成的结果
如果是not-a-virus，那肯定是你那边的云延迟，跟脱壳无关
卡巴不会把这种病毒码放在本地吧

BD 基本上都是用本地hash，没啥延迟

pal家族

把卡巴监控的智能模式关掉会快些。否则会故意延迟检测

温馨小屋

85683213 发表于 2019-6-30 11:08
BD   没云
卡巴 有云

谁说BD没云的，云杀一大把，但是BD可能会控制云杀时间，延时长了就直接miss

温馨小屋

BD在扫毒的时候也比卡巴快很多，在样本区有那个好几千个的毒包，卡巴的启发程度比较深，会跑动态分析，在B大的测试里也提到了卡巴能解析一些简单的免杀逻辑，但BD不行，所以卡巴的报毒里有一大堆HEUR报法，我觉得相对于启发的延迟来说UDS延迟根本算不了啥，何况卡巴在国内有cdn，就算在中国没有服务器的BD也可以秒报云杀，BD基本都是KD特征拉黑或者神经网络模型查杀，动态启发虽然也有但是似乎存在感不高，所以查询速度就变得很快。另外消耗时间的点可能就是走修复流程，卡巴和诺顿一样，默认设置下会首先尝试清除病毒修复系统，尝试失败才会直接删掉，在卡巴的扫描设置里设置直接删除的话会快不少，BD基本就是直接删除，很少会尝试修复流程，卡巴杀出来的很多都是有明确定义的，可以部署修复流程，但是BD这种大多数神经网络和KD杀的情况下似乎每个都跑修复不大容易
另外，似乎从6.0时代AVP引擎的性能就不大好