查看: 4226|回复: 14
收起左侧

[讨论] ESET搭配火绒评估

[复制链接]
B100D1E55
发表于 2020-6-29 07:43:27 | 显示全部楼层 |阅读模式
本帖最后由 B100D1E55 于 2020-6-29 11:50 编辑

本篇纯粹是娱乐的,但是测试结果有点意思

之前一直看有人推荐ESET和火绒搭配,先不考虑两者冲突的问题,我个人比较在乎的是ESET搭配火绒究竟能提高多少查杀率。

评估这点就需要做个实验来看看两者对于国内黑产的检测重合度有多高。于是我挑了个时间从国内沙盘拖了几十个样本下来分别用ESET和火绒扫描(注意,不是毒区常见的app.run之类的海外沙盘)。测试方法很简单,就是将样本归类成ESET和火绒都报、只有ESET报毒、只有火绒报毒三类。此外这里不考虑误报、漏报的问题。鉴于ESET和火绒误报都比较低所以不排除误报样本也不会偏差太多(主要也是因为一个个看过去太蛋疼了)

扫描的时候关闭ESET的潜在不安全、潜在不受欢迎、可疑程序检测,刚好比较符合ESET国区对易语言的处理。Blackmoon、Noobyprotect这类纯报壳/报语言也排除掉了,免得有人说“ESET这些都是报壳”

测试结果:

样本总数:35

ESET、火绒都杀: 14个
只有ESET杀:7个
只有火绒杀:14个

番外:打开潜在不安全、潜在不受欢迎、可疑程序检测来扫描只有火绒杀的那14个最后剩下2个。补杀的12个中11个是易语言,1个是Noobyprotect
只有火绒杀的样本看了一下大多是大多是后门、远控和盗号

总体来说这个结果还是比较有趣的。对于国内特色样本,排除掉ESET某些黑白不分的家族通杀的话火绒在这个小样本集表现可以说非常突出了……某种程度上来说火绒和ESET威胁情报相互成为了很好的补集。当然我这里并不是建议两者搭配,但如果火绒有能自动更新的绿色扫描器的话我想要一个

一直很诧异为什么杀软搭配区没有人做一个相对严谨的查杀重合率测试,至少也要画个韦恩图吧。我觉得如果重合率很高的话没有必要搭配,比较合理的是动态引擎搭配静态、国产搭配国外、NGAV搭配特征引擎、行为引擎搭配扫描引擎……所以我来发一个娱乐测试,小样本集无图纯文字请不要太当真。

Update:第二弹

收集文件总数:127 (2~3周前的样本文件,包含大量白程序)

火绒+ESET:48

其中,

火绒和ESET均查杀:19






仅ESET查杀: 20



仅火绒查杀:9




打开ESET潜在不受欢迎检测后扫描仅火绒查杀样本:9





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 9人气 +21 收起 理由
6Y9 + 3 版区有你更精彩: )
Picca + 1 版区有你更精彩: )
巍巍 + 1 赞一个!
InnoriaAlter + 3 版区有你更精彩: )
超超~.~ + 3 精品文章

查看全部评分

超超~.~
发表于 2020-6-29 13:47:20 | 显示全部楼层
也就是说,打开潜在不安全、潜在不受欢迎、可疑程序检测,从该文的样本量来讲,ESET已经可以应付绝大多数国内黑产了。如此一来,某种程度上,也确实不太有必要搭配火绒了。功能性上重复的太多,检出的样本覆盖比例上,ESET还能更高一些。
岚Azure
发表于 2020-6-29 14:18:04 | 显示全部楼层
等级高做测评就是不一样,我做好几期测评,累死累活也没见几个人给我加点分,还大部分人质疑我。

评分

参与人数 1人气 +1 收起 理由
HHB850521 + 1 发个糖鼓励一下

查看全部评分

欧阳宣
头像被屏蔽
发表于 2020-6-29 14:44:16 | 显示全部楼层
岚Azure 发表于 2020-6-29 14:18
等级高做测评就是不一样,我做好几期测评,累死累活也没见几个人给我加点分,还大部分人质疑我。

因为和你的测评相比 楼主的测评更切中问题实质 更具有可以借鉴的意义 也更没有大张旗鼓的自我宣传和预告

和等级没啥关系 和愿不愿意理性思考问题 再去执行有关系
ELOHIM
发表于 2020-6-29 15:00:41 | 显示全部楼层
所以,火绒对自己的查杀能力知根知底,
然后在产品功能上面集合了清理,漏洞,ARK,优化,弹窗和其它一些赠品。
B100D1E55
 楼主| 发表于 2020-6-29 21:57:26 | 显示全部楼层
本帖最后由 B100D1E55 于 2020-6-29 22:10 编辑
超超~.~ 发表于 2020-6-29 13:47
也就是说,打开潜在不安全、潜在不受欢迎、可疑程序检测,从该文的样本量来讲,ESET已经可以应付绝大多数国 ...

公平地来说ESET一些拉黑不是精确的查杀。这里我主要想看的是两者威胁情报的重合度,从这点来看火绒说的没错,其对本土威胁覆盖率的确比对海外威胁的高不少,不像样本区因为毒源大多是海外沙盘+海外样本动辄就是0检出率。此外由于ESET中文版不杀特定家族易语言,火绒扫描的确也有补足作用。

这次做实验的时候发现了几个事情:

1. eset易语言杀不代表就一定是黑白通杀,关掉pua检测后同一个样本还可能报其他威胁名字

2. 就算关了pua不杀不代表真的不杀(比如执行的时候可能杀)。事实上第一批样本漏掉的14个中有4个检测到了确切的毒,而第二批的9个也有3个检测出了实际的威胁,但仍旧有待进步

3. 火绒扫描速度慢很多,但也和其毒库很小有关

评分

参与人数 1人气 +3 收起 理由
超超~.~ + 3 感谢解答: )

查看全部评分

B100D1E55
 楼主| 发表于 2020-6-29 21:58:23 | 显示全部楼层
ELOHIM 发表于 2020-6-29 15:00
所以,火绒对自己的查杀能力知根知底,
然后在产品功能上面集合了清理,漏洞,ARK,优化,弹窗和其它一些 ...

目前来看对付国产的可能还行,对海外的应该是弃疗状态。
pal家族
发表于 2020-6-29 22:00:40 | 显示全部楼层
火绒还行 就是经常被吐槽扫描速度太慢。。。。。。
B100D1E55
 楼主| 发表于 2020-6-30 00:44:43 | 显示全部楼层
pal家族 发表于 2020-6-29 22:00
火绒还行 就是经常被吐槽扫描速度太慢。。。。。。

没办法,timeout阈值不调高我估计检测率会比较难看,他们现在应该也有针对不同类别设定不同的仿真深度了吧。目前我只感觉到他们的扫描缓存
超超~.~
发表于 2020-7-2 09:13:43 | 显示全部楼层
B100D1E55 发表于 2020-6-29 21:57
公平地来说ESET一些拉黑不是精确的查杀。这里我主要想看的是两者威胁情报的重合度,从这点来看火绒说的没 ...

B大分析得非常到位,也十分客观。
我个人还是比较倾向于笼统地看“效果”。不然我又会纠结起来,再次搞起杀软搭配。搭配了又担心冲突和不稳定性。我日常接触的易语言,应该是PJ资源,各种crack补丁,ESET对我用的这些补丁有相当部分是报毒的,也只能按您说的那样选择性排除。
前两天看别人测评KART,我又和ESET搭配使用了,他俩倒没有明显冲突,但是KART总是和我的浏览器还有科学上网工具冲突。动不动就在开机或者启动软件的时候报错,在信任里排除了也不行。所以,只能弃之不用。
我本来想一直用ESET中文版的,觉得易语言问题不大,这么看来,我还是装回英文版吧。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 08:24 , Processed in 0.127085 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表