【AV-C】 Real-World Protection Test Feb-Mar 2020 – Factsheet -Consumer

LSPD

诺顿趋势误报瞩目

巍巍

LSPD 发表于 2020-4-16 19:07
诺顿趋势误报瞩目

eset终于不是倒数了更令人瞩目

温馨小屋

a27573 发表于 2020-4-15 23:41
我总是感觉BD有点飘。。。很多东西急于求成，不够精细。。。

比如以前ATD问题还很多（杀WinRAR、Chrom ...

BD除了ATD之外基本全不行，现在连ATD也不太行了，样本区好几起部分加密了。三四年前起码BD还让入库狂魔，扫描碾压卡巴，ATC也是拦截率几乎100%，几年过去了，引擎反过来被卡巴碾压了，ATD也越来越烂。曾经听说过ATC杀BIOS升级程序的事，可能ATD不杀MBR和加驱也是基于这个理由，在那种人工智能主防体系下难以分辨正常加驱与病毒加驱，造成误杀的话后果严重，宁可不杀，所以查杀率越来越低，曾经的万物杀也开始漏东西了。


那更新界面酷似易语言程序，到处都充满了半成品的气息，界面光标错位的问题一年都没修复。

a27573

温馨小屋 发表于 2020-4-16 20:27
BD除了ATD之外基本全不行，现在连ATD也不太行了，样本区好几起部分加密了。三四年前起码BD还让入库狂魔， ...

可怕。。。
话说BIOS升到一半终止了是不是电脑就废了，要重刷BIOS才能救回来？

毕竟BD只是罗马尼亚这个小国的一家小公司（似乎）。。。

温馨小屋

a27573 发表于 2020-4-16 20:31
可怕。。。
话说BIOS升到一半终止了是不是电脑就废了，要重刷BIOS才能救回来？

对的，拆机拿编程器刷吧。


之前查过官网，BD的研发团队规模比卡巴小很多，但是服务人数和地区没小多少，所以我看BD不管个人版还是企业版都做了一大堆人工智能自动判断的东西，像卡巴那样分类入库以他们的人力来说可能有困难，所以报毒名全是神经网路模型的名字，ATD也是，像PDM那样更新行为特征太麻烦了，不如直接神经网路引擎搞定。每次我一看卡巴报出具体毒名比如WannaRen那样的，都感叹卡巴的分析团队到底是有多少人，那个勒索在国外杀软里基本只有卡巴微软和趋势报出了具体的名字，BD，ESET，AVIRA，这仨都还处于乱码报毒的状态。程序完成度方面可能也是，卡巴的驱动数量得10个以上了，通用反Rootkit驱动开发很考验工程师内核功底，搞不好就天天蓝屏，开发成本也很高，BD基本全靠atc.sys撑起ATD，除了这个也就两三个驱动，挂钩内容也少一些，想让他们做反Rootkit估计比较难。

a27573

温馨小屋 发表于 2020-4-16 20:47
对的，拆机拿编程器刷吧。

ESET其实也分类了。。。
那个wwlib.dll确实不是payload，只是个Injector，ESET没报错
至于具体名称，除非这个家族数量众多或者影响比较大（不止是中国），不然不会给具体毒名

反Rootkit这一点上，杀软为了符合微软的规范，天然处于劣势。。。能轻松安排卡巴甚至TDSS Killer的也不少。。。不过卡巴确实做得挺不错了

温馨小屋

a27573 发表于 2020-4-16 20:54
ESET其实也分类了。。。
那个wwlib.dll确实不是payload，只是个Injector，ESET没报错
至于具体名称，除 ...

ESET那分类当然没错，不过很明显没有过多的人工介入，像是管线跑出来的大类，不够具体，对于这样的小厂影响的阈值比较高，可能这毒的影响力还不足够，但是对于卡巴微软这样规模比较大的厂商这影响力已经足够了。卡巴对于很多有特点的离散样本命名大多也都很准。

想针对卡巴当然容易，杀软的内核权限越来越小，不过卡巴收拾一般Rootkit还是没啥问题的，BD诺顿那样的基本没有Rootkit清理能力，要不就根本扫不出来，要不就要求救援盘解决。论坛那么多Rootkit，加载后BD基本全跪，虽然入库了但是根本扫不出来，就这么潜伏下去了。

a27573

温馨小屋 发表于 2020-4-16 21:16
ESET那分类当然没错，不过很明显没有过多的人工介入，像是管线跑出来的大类，不够具体，对于这样的小厂影 ...

后面那个，ESET也一样。。。

温馨小屋

a27573 发表于 2020-4-16 21:20
后面那个，ESET也一样。。。

国外能搞定大多数Rootkit的厂家我知道的就卡巴一家。。。

毛子的数学和计算机能力真是牛逼

a27573

温馨小屋 发表于 2020-4-16 21:22
国外能搞定大多数Rootkit的厂家我知道的就卡巴一家。。。

毛子的数学和计算机能力真是牛逼

感觉Anti-Rootkit国内比较强。。。比如急救箱
毕竟锁首和歪瓜盛行