ESET搭配火绒评估

显示全部楼层 · 发表于 2020-6-29 07:43:27

本帖最后由 B100D1E55 于 2020-6-29 11:50 编辑

本篇纯粹是娱乐的，但是测试结果有点意思

之前一直看有人推荐ESET和火绒搭配，先不考虑两者冲突的问题，我个人比较在乎的是ESET搭配火绒究竟能提高多少查杀率。

评估这点就需要做个实验来看看两者对于国内黑产的检测重合度有多高。于是我挑了个时间从国内沙盘拖了几十个样本下来分别用ESET和火绒扫描（注意，不是毒区常见的app.run之类的海外沙盘）。测试方法很简单，就是将样本归类成ESET和火绒都报、只有ESET报毒、只有火绒报毒三类。此外这里不考虑误报、漏报的问题。鉴于ESET和火绒误报都比较低所以不排除误报样本也不会偏差太多（主要也是因为一个个看过去太蛋疼了）

扫描的时候关闭ESET的潜在不安全、潜在不受欢迎、可疑程序检测，刚好比较符合ESET国区对易语言的处理。Blackmoon、Noobyprotect这类纯报壳/报语言也排除掉了，免得有人说“ESET这些都是报壳”

测试结果：

样本总数：35

ESET、火绒都杀： 14个
只有ESET杀：7个
只有火绒杀：14个

番外：打开潜在不安全、潜在不受欢迎、可疑程序检测来扫描只有火绒杀的那14个最后剩下2个。补杀的12个中11个是易语言，1个是Noobyprotect
只有火绒杀的样本看了一下大多是大多是后门、远控和盗号

总体来说这个结果还是比较有趣的。对于国内特色样本，排除掉ESET某些黑白不分的家族通杀的话火绒在这个小样本集表现可以说非常突出了……某种程度上来说火绒和ESET威胁情报相互成为了很好的补集。当然我这里并不是建议两者搭配，但如果火绒有能自动更新的绿色扫描器的话我想要一个

一直很诧异为什么杀软搭配区没有人做一个相对严谨的查杀重合率测试，至少也要画个韦恩图吧。我觉得如果重合率很高的话没有必要搭配，比较合理的是动态引擎搭配静态、国产搭配国外、NGAV搭配特征引擎、行为引擎搭配扫描引擎……所以我来发一个娱乐测试，小样本集无图纯文字

请不要太当真。

Update：第二弹

收集文件总数：127 （2~3周前的样本文件，包含大量白程序）

火绒+ESET：48

其中，

火绒和ESET均查杀：19

仅ESET查杀： 20

仅火绒查杀：9

打开ESET潜在不受欢迎检测后扫描仅火绒查杀样本：9

显示全部楼层 · 发表于 2020-6-29 13:47:20

也就是说，打开潜在不安全、潜在不受欢迎、可疑程序检测，从该文的样本量来讲，ESET已经可以应付绝大多数国内黑产了。如此一来，某种程度上，也确实不太有必要搭配火绒了。功能性上重复的太多，检出的样本覆盖比例上，ESET还能更高一些。

显示全部楼层 · 发表于 2020-6-29 14:18:04

等级高做测评就是不一样，我做好几期测评，累死累活也没见几个人给我加点分，还大部分人质疑我。

显示全部楼层 · 发表于 2020-6-29 14:44:16

岚Azure 发表于 2020-6-29 14:18
等级高做测评就是不一样，我做好几期测评，累死累活也没见几个人给我加点分，还大部分人质疑我。

因为和你的测评相比楼主的测评更切中问题实质更具有可以借鉴的意义也更没有大张旗鼓的自我宣传和预告

和等级没啥关系和愿不愿意理性思考问题再去执行有关系

显示全部楼层 · 发表于 2020-6-29 15:00:41

所以，火绒对自己的查杀能力知根知底，
然后在产品功能上面集合了清理，漏洞，ARK，优化，弹窗和其它一些赠品。

显示全部楼层 · 发表于 2020-6-29 21:57:26

本帖最后由 B100D1E55 于 2020-6-29 22:10 编辑

超超~.~ 发表于 2020-6-29 13:47
也就是说，打开潜在不安全、潜在不受欢迎、可疑程序检测，从该文的样本量来讲，ESET已经可以应付绝大多数国 ...

公平地来说ESET一些拉黑不是精确的查杀。这里我主要想看的是两者威胁情报的重合度，从这点来看火绒说的没错，其对本土威胁覆盖率的确比对海外威胁的高不少，不像样本区因为毒源大多是海外沙盘+海外样本动辄就是0检出率。此外由于ESET中文版不杀特定家族易语言，火绒扫描的确也有补足作用。

这次做实验的时候发现了几个事情：

1. eset易语言杀不代表就一定是黑白通杀，关掉pua检测后同一个样本还可能报其他威胁名字

2. 就算关了pua不杀不代表真的不杀（比如执行的时候可能杀）。事实上第一批样本漏掉的14个中有4个检测到了确切的毒，而第二批的9个也有3个检测出了实际的威胁，但仍旧有待进步

3. 火绒扫描速度慢很多，但也和其毒库很小有关

显示全部楼层 · 发表于 2020-6-29 21:58:23

ELOHIM 发表于 2020-6-29 15:00
所以，火绒对自己的查杀能力知根知底，
然后在产品功能上面集合了清理，漏洞，ARK，优化，弹窗和其它一些 ...

目前来看对付国产的可能还行，对海外的应该是弃疗状态。

显示全部楼层 · 发表于 2020-6-29 22:00:40

火绒还行就是经常被吐槽扫描速度太慢。。。。。。

显示全部楼层 · 发表于 2020-6-30 00:44:43

pal家族发表于 2020-6-29 22:00
火绒还行就是经常被吐槽扫描速度太慢。。。。。。

没办法，timeout阈值不调高我估计检测率会比较难看，他们现在应该也有针对不同类别设定不同的仿真深度了吧。目前我只感觉到他们的扫描缓存

显示全部楼层 · 发表于 2020-7-2 09:13:43

B100D1E55 发表于 2020-6-29 21:57
公平地来说ESET一些拉黑不是精确的查杀。这里我主要想看的是两者威胁情报的重合度，从这点来看火绒说的没 ...

B大分析得非常到位，也十分客观。
我个人还是比较倾向于笼统地看“效果”。不然我又会纠结起来，再次搞起杀软搭配。搭配了又担心冲突和不稳定性。我日常接触的易语言，应该是PJ资源，各种crack补丁，ESET对我用的这些补丁有相当部分是报毒的，也只能按您说的那样选择性排除。
前两天看别人测评KART，我又和ESET搭配使用了，他俩倒没有明显冲突，但是KART总是和我的浏览器还有科学上网工具冲突。动不动就在开机或者启动软件的时候报错，在信任里排除了也不行。所以，只能弃之不用。
我本来想一直用ESET中文版的，觉得易语言问题不大，这么看来，我还是装回英文版吧。

[讨论] ESET搭配火绒评估

本帖子中包含更多资源

评分

评分

评分