【AV-C】 Real-World Protection Test Feb-Mar 2020 – Factsheet -Consumer

温馨小屋

a27573 发表于 2020-4-16 21:26
感觉Anti-Rootkit国内比较强。。。比如急救箱
毕竟锁首和歪瓜盛行

驱动锁首中国特色，这么多年了国产杀软都练出来了

a27573

温馨小屋 发表于 2020-4-16 21:51
驱动锁首中国特色，这么多年了国产杀软都练出来了

好几个锁首我上报了ESET都不入库的
而且有些锁首迷惑性比较强，解除锁定按钮是假的

或者只是报壳

LSPD

a27573 发表于 2020-4-16 21:57
好几个锁首我上报了ESET都不入库的
而且有些锁首迷惑性比较强，解除锁定按钮是假的

迷人的eset
歪楼问一下去哪里找他们的技术支持？
二版从来不回复

a27573

LSPD 发表于 2020-4-16 22:09
迷人的eset
歪楼问一下去哪里找他们的技术支持？
二版从来不回复

我也不知道。。。
上次我在提交了一些反馈，现在还没回音。。。
不过那个反馈页面有好多类别，也许其中一些类别会比较快？或者直接去论坛反馈（似乎除了认为影响会很大的样本，其他不允许在论坛上报）
软件里那个提交技术支持我没试过，可能会比较快

B100D1E55

a27573 发表于 2020-4-16 22:58
我也不知道。。。
上次我在提交了一些反馈，现在还没回音。。。
不过那个反馈页面有好多类别，也许其中 ...

卡巴雇员数量是ESET的三倍，港真ESET真的算公司规模不大人工操作占比却比较大的厂商了（员工数量上Avast、BD和ESET同一个规模，红伞小一些，当然这里没考虑到R&D部门占比）。有些厂商员工有六七千人，但报毒永远是拉黑或者trojan horse。

ESET报毒名除了Gen开头的其他都是人工加的定义，可以算算毒区里面报Gen的比率就知道其实基本都是人工定义。ESET查毒跟剥洋葱一样，拨到哪一层看到烂了就报那一层。所以毒A和B用了同一个kryptik/injector就会报同一个，但不代表他们内部没归类。

至于样本提交的确是比较蛋疼，由于人员力量有限就算是人工上报优先级也有区分。当时官人跟我说过他们人工上报渠道内部还有一套机器学习分拣系统做优先级处理，有一些广度小的我猜可能直接被忽略掉。逼着用户email上报估计也是为了“去噪”，而右键上报都是进LiveGrid自动处理除非是那个企业鉴定系统。这次wannaren如此搓逼的处理也是这个缘故。国产锁首和他们处理的大部分样本比起来算低优先级的，sigh。Rootkit处理也是如此，他们官人大言不惭说过“这年头rootkit已经不多了”，你就知道他们接触的样本趋势和国内看到的情况是有偏差的。如果他们像卡巴一样在国内有lab的话就不至于说这种话。

ESET唯一的公开样本提交渠道是email，有小概率会回复。技术支持你提交了它也会告诉你应该去email提交所以不用试了。论坛提交的话emmmm他们论坛上那个官人交流起来让人心累。就这点而言BD态度反而好，技术支持一个ticket上去一般一天内就会告诉实验室鉴定结果

BD做东西的确是比较糙，我觉得他们的引擎不是退步了而是一直以来都如此，只不过应对现在的恶意程序越来越吃力了而已。糙体现在几点：通用拉黑改MD5就能过，剩下的为了速度大多是静态，有非常多的固定规则，逢小众壳必报（想搞软件保护/压缩的用BD会气得想砸电脑）。然后扫描引擎因为OEM众多又天天被针对，随手搜一下针对BD引擎绕过的研究就知道了，里面有的洞估计现在都没修清楚/修不了。ATD这种拿用户机子当试验田的东西按理来说是最后手段，但因为它前置扫描引擎实在是疲软只能独自担当重任。所以过扫描但ATD能杀这种比起高兴还不如说应该警惕，很多毒运行起来后基本就自求多福吧，针对性摘钩一下这些就挂了。至于他们的进步个人感觉就是那一大坨新加的机学引擎，我估计他们也知道自己的仿真已经要被玩烂了，但新加入VT的theta误报率有2.1%，我觉得他们自己也不敢在实际产品部署这个阈值。我记得前几天看到这个论坛上有人问为什么VT theta报毒但是企业鉴定器不报，这个就是原因。

所以安全软件多层防御这点我觉得前置层远比后置层重要。以防为先，杀/清毒永远是不得已的最终手段。而且前置层的检测不一定要是后置层的子集（经常看到测试里有人关闭前置层测后置层说这才是真功夫，这个并不确切）。不同层之间应该是互补关系。这点想通了我觉得选实际产品心理就有个数。前置杀97%漏3%，或者前置杀80%剩下18%后置层杀，这两个我肯定选前者

a27573

B100D1E55 发表于 2020-4-16 23:32
卡巴雇员数量是ESET的三倍，港真ESET真的算公司规模不大人工操作占比却比较大的厂商了（员工数量上Avast ...

B大nb
——————————————
问一下，Rootkit处理这方面会不会有客户端看不到Rootkit，导致云端收集不到样本，最后又导致反Rootkit能力变得更弱这种恶性循环的情况呢？

B100D1E55

a27573 发表于 2020-4-17 00:14
B大nb
——————————————
问一下，Rootkit处理这方面会不会有客户端看不到Rootkit， ...

很有可能，特别是猥琐方法。某厂的探针连dll白利用都抓不清楚……普通那种释放驱动加载的一般释放器会被云捕获，云端沙箱有引爆的话可能还能捉到，但是也别高估某些大厂沙箱的设计水平这是我最近发现的事实

还有一个问题是样本太多沙箱算力不足，很多右键上报的样本哪怕行为再明显也没被入库估计就是优先级低卡在沙箱管线里根本没进去。客户端一旦驱动加载潜伏后就拜拜了。

一般厂商样本收集有这几种：云上传自动管线处理、合作伙伴/测试机构样本提供、HIPS探针异常检测（可以看作是一个全网EDR）、人工上报。经常出现A家独家发布某个潜伏多年的毒其他厂商没发现，很可能就是HIPS异常检测事件过滤的时候他们眼睛尖发现了/监测点没被绕过，其他厂直接盲点，或者是那个厂刚好底下某个大客户IT dept发现了异常之类的……这里面事件广度是个很重要的因素

基本上你能想象到的坏情况实际生活都可能发生，只不过不那么厉害的东西都能放倒一片产品所以也没必要费心思做更高级的，毕竟黑产也想节约成本。国内因为黑产市场侧重点+垄断产品对抗力度强所以出现了比较特殊的情况。某种程度上来说去垄断化的安全市场客观上可能更安全一点，毕竟针对多个产品比针对单个产品成本高。

人工介入非常重要，我个人觉得安全软件为了易用性并没什么放之四海而皆准的自动检测捷径。检测规则越通用，误报概率越大。那些高检测低误报的产品基本无不是人肉打磨出来的

陌染淡殇

B100D1E55 发表于 2020-4-16 23:32
卡巴雇员数量是ESET的三倍，港真ESET真的算公司规模不大人工操作占比却比较大的厂商了（员工数量上Avast ...

学习了，很受用。大大显现用哪款杀软？

陌染淡殇

多连，编辑掉

陌染淡殇

多连，编辑掉