查看: 24393|回复: 210
收起左侧

[讨论] 卡巴斯基主防测试(断网锁库)

  [复制链接]
温馨小屋
头像被屏蔽
发表于 2021-2-9 00:19:30 | 显示全部楼层 |阅读模式
看了前面的BD测试,有人要看卡巴,就来个卡巴吧
样本包来自此贴 https://bbs.kafan.cn/thread-2201419-1-1.html


2020版本,2019年4月19日的库,我没办法了,用2021MR1版本会启发掉一大堆样本,2019的库再扫描杀只能说病毒太古老了。



1:#Ransomware (.ILMWL) (2020-09-05)
主防杀



2:FRS
惨遭HEUR启发



3:Ransom (2020-12-03)
两样本均主防杀



4:Ransom (2020-12-04)
两样本均被入库



5:Ransom.Avaddon (2020-06-30)
主防杀


6:Ransom.avaddon (2020-10-19)
主防杀

7:Ransom.lazparking (2020-12-02)
启发一个,另外两个漏了



8:Ransom.locked (2020-12-01)
主防杀


9:Ransom.makop (2020-07-29)
主防杀


10:Ransom.Netwalker (2020-10-19)
漏了


11:Ransom.nigger (2020-11-25)
入库


12:Ransom.parasite
主防杀

13:Ransom.ThunderX (2020-09-15)
主防杀

14:Ransom.WastedLocker (2020-07-29)
启发掉了一只,另一只主防杀


15:Ransom.XINOF (2020-11-29)
主防杀第一个,第二个无法运行


16:Ransomware #Medusa
主防杀


17:Ransomware #Suncrypt (2020-08-25)
主防杀


18:Ransomware #Vovalex
漏了

19:Ransomware Stealer
主防杀,部分加密后回滚

20:wzryjb
主防杀


结果:

主防杀:14
扫描杀:7
漏:4
无法运行:1


2021MR1重测,7月1日数据库

7:Ransom.lazparking (2020-12-02)
依然漏
10:Ransom.Netwalker (2020-10-19)
主防杀


18:Ransomware #Vovalex
主防杀,文件成功回滚




最终结果:

主防杀:16
扫描杀:7
漏:2
无法运行:1

只有7:Ransom.lazparking (2020-12-02)的两个文件漏了



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 20分享 +3 人气 +48 收起 理由
autoAnti + 3 精品文章
wohaofan1200 + 3 版区有你更精彩: )
OVS + 3 版区有你更精彩: )
xxl11231220 + 3 很给力!
雪拥蓝关 + 2 精品文章

查看全部评分

761773275
发表于 2021-2-9 00:23:31 | 显示全部楼层
本帖最后由 761773275 于 2021-2-9 00:24 编辑

55开
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 00:28:37 | 显示全部楼层
本帖最后由 温馨小屋 于 2021-2-9 00:33 编辑

唉,测卡巴太难了,没办法单测主防,只能断网锁库,可是断网会影响主防发力,而且PDM特征也是要更新的,这样也差不多了,7确实过了,但也不知道后面主防改进了没有,一联网肯定是云杀,之前见过第一天主防没杀第二天更新后就主防杀的操作。

7里面那俩应该是一样的病毒。。。

https://bbs.kafan.cn/thread-2195942-1-1.html

诸葛亮
发表于 2021-2-9 00:46:13 | 显示全部楼层
看表现,卡巴很棒
huicuan
发表于 2021-2-9 01:47:26 来自手机 | 显示全部楼层
卡吧挺牛的
Domenic
发表于 2021-2-9 01:50:40 | 显示全部楼层
卡巴回滚太强了。我之前中了个不知什么病毒,卡巴直接查杀重启回滚一条龙,贼安心。
Jerry.Lin
发表于 2021-2-9 01:56:47 | 显示全部楼层
原来链接失效了,有人再发么?我娱乐测下AVAST IDP
欧阳宣
头像被屏蔽
发表于 2021-2-9 05:42:47 | 显示全部楼层
在断网锁库的前提下 有特征库帮忙的主防肯定比没有特征库帮助的要强 这当然是毫无疑问的
测试条件的不同会让同一个杀软在不同条件下成绩差别很大

比如说AV-C的测试方式是点击带毒链接,那趋势肯定100%满分,但是趋势的样本区很难让人完全放心
比如你这个断网锁库,卡巴有启发类特征库给主防作辅助,那当然和ATC那种只依靠本身更新规则的主防相比就占优势

那我是不是也可以反过来理解 也就是卡巴的主防也要依赖特征库,当我们在说卡巴断网锁库表现很强时,其实是主防把特征库的功劳也一并抢过来了。而且根据PDM报法中几乎一定出现的Generic字样,是不是卡巴也有类似小a里“IDP.generic.xxxxxxxxxx"一样主防拉黑的迹象?那卡巴纯主防到底在这个测试里能起到几成作用?
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 10:16:39 | 显示全部楼层
欧阳宣 发表于 2021-2-9 05:42
在断网锁库的前提下 有特征库帮忙的主防肯定比没有特征库帮助的要强 这当然是毫无疑问的
测试条件的不同会 ...

启发的那几个都是比较古老的病毒了,并不是都是新的,看那几个新的就行了。

扫描杀的也没几个,只能说原贴楼主挑样本挑的不好,SW有专门的云特征联动报法,再说如果命中特征库的话在应用程序控制那里就杀了,根本轮不到SW,包里大部分样本是能过特征库的。卡巴各组件是联动的,所有组件都会先调用特征库扫描。

主防能拉黑一年后的病毒?主防拉黑了为啥扫描不杀呢,扫描库里能拉黑那跑去主防拉黑干啥?你如此夸大特征库的作用是想干啥?那你怎么知道ATC只靠本身规则没有联动部分特征库?你要是这么杠的话那就没意思了,是不是得把杀软源码拿出来告诉你这就是本地主防杀得没有任何特征库联动你才信?

评分

参与人数 1人气 +2 收起 理由
swizzer + 2 精品文章

查看全部评分

温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 10:18:51 | 显示全部楼层
Domenic 发表于 2021-2-9 01:50
卡巴回滚太强了。我之前中了个不知什么病毒,卡巴直接查杀重启回滚一条龙,贼安心。

卡巴回滚可是只能回滚特定扩展名的,你的EXE被加密后恐怕就没有了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:10 , Processed in 0.126195 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表