比特梵德与卡巴斯基优缺点比较

360牛逼

各位兄dei，比特梵德和卡巴斯基都是当今最优秀的杀软，相比较而言，双方各有什么优缺点，大家一起来讨论下吧。

360牛逼

519916277 发表于 2019-8-6 23:01
比特梵德在中国的代{过}{滤}理反正是不怎么样，不能升级组件，而且之前貌似出过一用户=1设备，想用的话还是 ...

我今天试用了比特梵德total security，他竟然拦截我windows store里软件的升级，还没有取消拦截的选项。

温馨小屋

正好这俩我用的比较多


扫描：现在卡巴和BD都在偏向于静态查杀，动态分析用的不多，卡巴的查杀依赖UDS的快速响应，新样本一旦捕获几小时甚至一小时内就可以云杀，等下次病毒库更新时会本地入库，特征强度方面不是很强，UDS只查哈希值，改个MD5就过了，本地特征加个壳也能过，就算是最简单的标准UPX也不会脱壳，但是对于已入库内容的变种UDS的反应会非常快，就算加VMP半小时内也能UDS杀。对于不同的壳会有不同的名字，相当于每个壳入一次库。虽然特征强度普遍不强，但是卡巴的HEUR也是很猛的，我原来对病毒做普通的特征码免杀基本很难逃过启发，对于老毒就算加了壳一样HEUR杀，尤其是对脚本类的HEUR启发要强于BD，BD杀脚本基本全靠入库。BD方面引擎查杀不太出彩，很多毒都放过去给ATD了，新毒一般都是KD入库，这种特征都是自动机提取的，强度比较低，但胜在速度快，BD还有一堆有奇怪名字的神经网络模型，这种检测强度比较高，对于家族查杀好一点。BD会脱一部分的壳，但是绝大部分还是和卡巴一样不同的壳入库不同的名字，甚至有时加个UPX病毒家族名称都变了，BD也有云，类似Gen:Suspicious.Cloud.2.Nm0@ayKRIXdi这样的，云特征强度比卡巴高一点，改MD5不会过掉，拉黑效率大概有卡巴的70%吧，很多云杀双击才会触发，可能是为了服务器性能考虑。卡巴引擎在性能上差一点，扫大包的时候BD很快，卡巴总是很慢，而且对于强壳还容易卡右键，卡到最后也脱不掉。总之我觉得在查杀方面卡巴还是好一点的。


主防：BD的ATD之前被很多人称为神器，拦截率确实很高，但是误报也不少，ATD对于小动作很敏感，所以常常能在危险动作作出之前杀掉，但是因为没有回滚所以偶尔会出现部分加密的情况，和SONAR的情况类似，诺顿的解决方法是SONAR添加勒索家族定义，或者让用户加钱上NSBU，相当于没解决问题，BD加了个勒索保护，可以恢复部分文件，不过这个组件误报也不少。ATD还有几个重大缺陷，BD区也常提到，ATD不杀驱动加载，所以只加驱的话不会被杀，但是一旦进入R0就可以为所欲为了，卡巴会积极入库可能造成危险的ARK工具，PDM也有可疑驱动程序加载这个报法，然鹅BD官方装死，另外就是BD不杀MBR炸弹，还有不杀广告。PDM采用BSS流特征的形式，与ATD的打分制主防不同，拦截点靠后，误杀很少，卡巴也可以加入各种特别的流特征来杀广告，自动安装程序等，对于勒索卡巴一般是先加密一部分再回滚，用户文件不会有损失，对于一些论坛自制病毒，那些匪夷所思的操作很难过ATD，但是有时能过PDM。根据样本区测试，卡巴的拦截率跟BD差不多，BD会漏掉一些广告，卡巴会漏掉一些勒索，都属于一流主防。


网络：卡巴和BD都有反网络攻击功能，不过存在感较低，我现在都没见过BD报网络攻击。卡巴的反网络攻击似乎也是类似IPS需要更新特征才能杀，对于没有特征的只能放进来给PDM了，卡巴的防火墙会默认封锁很多敏感端口，所以有时也造成一些问题，比如445端口功能无法使用。对于网页两家基本都是靠入库杀。总之这一方面不好测试，经验也不多。


其他方面：卡巴的反广告功能不错，很多百度淘宝的广告都能去掉，很实用。卡巴反Rootkit比较强，内核里的驱动和各种回调和过滤驱动比BD多了好多。BD到现在也没有正式提供中文支持，对于中国的本地威胁反应不够快，有点水土不服，卡巴在这方面就好的多，毕竟在本地有团队。卡巴在本地有CDN，更新和UDS都很快，BD需要连到国外服务器，升级慢，有时云杀也会抽风，而且BD升级时会占用大量CPU和硬盘资源。BD提供了SafeFile功能，这种锁目录的操作对于勒索软件效果还是不错的，起码能保证重要文件不被加密。BD占用内存多，但是扫描速度快，可能这就是空间换时间吧。。。

莓办法

卡巴的本地化做的比较好，bd的下载服务器。。

PanzerVIIIMaus

519916277 发表于 2019-8-6 23:01
比特梵德在中国的代{过}{滤}理反正是不怎么样，不能升级组件，而且之前貌似出过一用户=1设备，想用的话还是 ...

翻了下旧帖子，只能重置一次，再用完直接报废

Gollum

360牛逼 发表于 2019-8-6 23:06
我今天试用了比特梵德total security，他竟然拦截我windows store里软件的升级，还没有取消拦截的选项。[ ...

是哪个模块拦截的？

j2016

bd最大的缺点，在它发现病毒后，自说自话的改文件隐藏属性和显示后缀名

360牛逼

Gollum 发表于 2019-8-7 08:50
是哪个模块拦截的？

没注意看，一下子给我整几百个警告，我瞄了眼，好像是说某个网络地址有危险，感觉地址应该是微软官方的，链接上带microsoft，而且待更新的软件也是微软的。  比特我已经卸了，有点小贵

Gollum

360牛逼 发表于 2019-8-7 09:09
没注意看，一下子给我整几百个警告，我瞄了眼，好像是说某个网络地址有危险，感觉地址应该是微软官方的， ...

我猜想就是这个问题https://bbs.kafan.cn/thread-2091924-1-1.html