eset云

Shake2333

eset云反应太慢了，毒区别的杀软都拉黑了，eset还愣着，还是先用MD缓缓吧

anthonyqian

ESET的云有时很快，上报几分钟就拉黑了，估计是机器自动识别的。但如果自动识别不了，就会陷入无限期的“信誉未知”中

InApproaching

主要是他的云响应 好像一直都不大行 不知道什么情况。。
还有人工分析真的慢。。不管是邮件上传 右键上传样本都是一样的。  

嗯。。我听谁说来着 对于传播度低的样本 入库的优先级较低

企稳向好

InApproaching 发表于 2020-12-24 23:50
主要是他的云响应 好像一直都不大行 不知道什么情况。。
还有人工分析真的慢。。不管是邮件上传 右 ...

小众样本，如果是人工分析快的其实真没几家。有些厂商看起来响应迅速，不是因为人工分析，而是抄作业抄的勤参考：https://bbs.kafan.cn/thread-2125195-1-1.html

InApproaching

企稳向好 发表于 2020-12-25 11:15
小众样本，如果是人工分析快的其实真没几家。有些厂商看起来响应迅速，不是因为人工分析，而是抄作业抄的 ...

哈哈哈 这个大家一起抄就挺有意思的 或许还真的有这个可能呢。

Miostartos

InApproaching 发表于 2020-12-24 23:50
主要是他的云响应 好像一直都不大行 不知道什么情况。。
还有人工分析真的慢。。不管是邮件上传 右 ...

因为他家只有论坛上报才是直接人工分析。
右键和邮件都是进自动机。
好在他家自动机和人工都比较严谨。
所以天天被抄。

InApproaching

Miostartos 发表于 2020-12-25 14:24
因为他家只有论坛上报才是直接人工分析。
右键和邮件都是进自动机。
好在他家自动机和人工都比较严谨。 ...

嗯嗯 感谢解释~~可能之前我记错了

好的下次有不报的直接送去官方论坛 还好现在可以直连了

欧阳宣

你用MD来缓是几个意思？ 大神解读一下

Shake2333

欧阳宣 发表于 2020-12-25 15:02
你用MD来缓是几个意思？ 大神解读一下

就是先用用Microsoft Defender的意思，没别的意思

B100D1E55

eset的拉黑速度和样本对已知威胁的近似程度以及传播广度有关。如果是已知威胁的变种（特别是那种没到本地引擎报毒阈值但是远超过云端引擎报毒阈值的样本），拉黑就是10分钟以内的事情。他们的快速鉴定会先把样本过传统扫描引擎+机器学习扫描引擎，扫描没出东西再入沙箱跑行为。所以如果第一阶段就检出了，拉黑就非常快；第一阶段没检出那往往只能排队走人工或者Generik报毒路线，速度就很慢。这种策略保证误报非常低。和卡巴UDS那种快速可疑行为拉黑比起来，eset误报要低得多，但也牺牲了响应速度。

毒区Jerry同学的样本包就是典型，里面的样本很多是已知变种，本地没报毒的基本云端鉴定分数都在90分以上（满分100），这类样本大多一扫还没结束云端就已经开始响应了。对于这种高置信度样本eset拉黑非常快，我企业版传云大概15分钟后个人版就跟进拉黑了。估计本地引擎隐藏检测已经发现样本离报毒阈值很近，马上让云高优先级鉴定拉黑。但对于毒区那种自制白加黑勒索之类的具有实验性质、传播广度近乎为0的样本，人工上报+人工鉴定是唯一的归宿。这就是当今科技的局限。