卡巴斯基主防测试(断网锁库)

HEMM

温馨小屋 发表于 2021-2-18 14:46
应该可以，卡巴也有内存杀，文件不需要落地就能检测到。

谢谢！我是从柯姐那里拿到的猫罐头里面写了无文件攻击，所以我就好奇问问，也就是感兴趣的时候问，以我的记忆力，应该过不了多久就会忘光..........纯满足好奇心........

柯林

HEMM 发表于 2021-2-18 14:34
卡巴可以防护无文件攻击吗？

难道“未曾听说--猫猫就能防”么一招“猫猫无影脚，吴文俊哪里逃.........."

给你一张”佛山猫猫无影脚-凌空斩-招式拆解图”：

欧阳宣

温馨小屋 发表于 2021-2-18 14:23
我也不拐弯抹角了，测试不符合大多数人的使用环境！=无意义，总会有人要求高一点想看看对杀软对未知威胁 ...

你现在为了把不合理的地方摘掉 开始间接补充到自己测试环境不符合大部分人日常环境（我觉得说全部用户的日常环境都不为过，因为没有人日常使用会锁库）所以测试本身的效力只能局限于一个很小的范围了 感谢你的让步

但是在原帖中 你有意不说这一点……其实就是只字不提。后果是什么呢？有意拿掉的限定条件把这个测试的应用范围和效力扩大了，

你测试里面19年4月份自带的启发式检测特征库 连一年后的勒索都能断网下启发检测 可见断网情况下定期更新特征库对断网下应对全新样本是非常重要的；但是你为了强行暴露主防 也可以说为了节目效果 砍掉了这一点 你然后还说我反智？你已经在引起口水了。

很多id就跟上面那样 会觉得“不懂 但看的很舒服”这是危害更大的地方 这也是为了什么我在被你们不止一个人这么疯狂讽刺辱骂之下把这一点指出来的原因

你跟那个只测ATC的id肯定觉得无所谓啦 分都加了腰板直的不行 你又管我做啥呢 那些不再作声的大佬对卡饭的内容质量已经失去信心了 只是我还比较热血 还觉得看到这种想磕巴几句据理力争一下而已 你不理我就完了

欧阳宣

HEMM 发表于 2021-2-18 13:15
我觉得暂时停止交流比较好，等聊的来再聊.......
那个，有件事我倒是很好奇，NOD32的高级内存扫描 ...

我印象里本质上还是扫描吧 可能并不行 无文件攻击靠的应该是特殊的命令行调用wscript或者powershell

可能靠启发或者hips更靠谱

温馨小屋

欧阳宣 发表于 2021-2-18 15:35
你现在为了把不合理的地方摘掉 开始间接补充到自己测试环境不符合大部分人日常环境（我觉得说全部用户的 ...

开始间接补充到自己测试环境不符合大部分人日常环境

我本来就没有说日常环境的，是你非得往这边拉的。做这个本来是想了解一下卡巴主防的能力现在怎么样了，而且卡巴的SW没有像SONAR那样高度依赖网络，所以至少能测出八九成的功力。

这很明显是一个单独针对主防的测试，你这一直强调实际场景，驴唇不对马嘴，实在是理解不了，我就是为了看主防而特意构造的这么个环境。

但是在原帖中 你有意不说这一点……其实就是只字不提。后果是什么呢？

这是主防测试，我已经说的很明确了，不是真实世界测试，不知道你在这扯啥。

你测试里面19年4月份自带的启发式检测特征库 连一年后的勒索都能断网下启发检测 可见断网情况下定期更新特征库对断网下应对全新样本是非常重要的；但是你为了强行暴露主防 也可以说为了节目效果 砍掉了这一点 你然后还说我反智？

更新特征库当然重要，但是都被特征库杀了那我还测主防不，还能测吗？你为啥非得套个实际场景啊，强行暴露主防有错吗，把特征库去了只剩主防才好呢，这就是本帖的目的，套个断网环境下场景就开始在这高谈阔论你不觉得自己好笑吗。这不是反智是啥。


断网不是目的，断网查杀率也不是目的。目的是要模拟遇见最新病毒的情形。

请仔细理解这句话，理解不了建议不要发言了，真的闹笑话。

还觉得看到这种想磕巴几句据理力争一下而已 你不理我就完了

据理力争？你有理吗？卡饭内容质量下降是事实，你的“热血”就表现在引发口水和抛神论上吗？你先把逻辑捋清楚再说。

HEMM

欧阳宣 发表于 2021-2-18 15:36
我印象里本质上还是扫描吧 可能并不行 无文件攻击靠的应该是特殊的命令行调用wscript或者powershell

...

嗯嗯，看来理论上OSArmor就能防护住一些.......突然觉得OSArmor还不错......

欧阳宣

温馨小屋 发表于 2021-2-18 16:10
我本来就没有说日常环境的，是你非得往这边拉的。做这个本来是想了解一下卡巴主防的能力现在怎么样了，而 ...

强行暴露主防有错吗，把特征库去了只剩主防才好呢，这就是本帖的目的

那个版主也说了卡巴剥离不开的 启发特征库和主防同时撑着卡巴的断网检测的 这就是为什么不能锁库

锁库同时把启发库和入库的库都锁了 但是真实环境下即便断网启发库也是最新的 而你也做不到把入库的库和启发的库剥离开来 你花大力气剥离开来 离真实的遇见全新文件的情形就更远了

你单独想要暴露主防这一点 恰恰说明你也误以为卡巴遇到全新文件只有主防顶着却不知道还有启发 这一点你应该清楚

断网不是目的，断网查杀率也不是目的。目的是要模拟遇见最新病毒的情形。

遇见最新病毒的时候 你的本地库是不是至少刚更新过？宿舍断网了 家里断网了持续时间最多一两周吧 那时卡巴的库会不会像测试里这样让你锁成一年多以前？不会吧？

那么你这次测试怎么可能模拟遇见最新病毒的情形？AVC锁库也不会故意锁成一年多以前那种从不更新的情况吧

我觉得你锁库的原因还有一个 是选取的样本是有针对性的 都是勒索 个数又少 大家样本区一扫都入库了 又不敢双击 都等着别人双击 那你的测试就有看头了 这我理解 但是技术上你分不开影响因素 是我的话前前后后想明白了就不会提控制变量法了……

以上几点如果你觉得我没道理你就说 不要拐弯抹角说我什么自以为是啦钻牛角尖什么的 那就又逊了一个档次了

温馨小屋

欧阳宣 发表于 2021-2-18 16:37
那个版主也说了卡巴剥离不开的 启发特征库和主防同时撑着卡巴的断网检测的 这就是为什么不能锁库

锁 ...

恰恰说明你也误以为卡巴遇到全新文件只有主防顶着却不知道还有启发 这一点你应该清楚

很显然启发想过掉也没那么困难，加个强点的壳就能过掉大部分HEUR，vmp这类大多数引擎都脱不了，但是行为很难混淆吧，非常简单的道理。而且卡巴的HEUR和诺顿的AdvML不一样，这种启发特征明显广谱度比机器学习模型要差，所以在样本区新病毒启发不出来是常事，不知道你一直拿启发说事是什么意思。

遇见最新病毒的时候 你的本地库是不是至少刚更新过？宿舍断网了 家里断网了持续时间最多一两周吧 那时卡巴的库会不会像测试里这样让你锁成一年多以前？不会吧？

又开始疯狂往实际场景里带入，无语了，不解释了。对实际情况这么执着吗，想单测个主防还得找个实际情况？

我觉得你锁库的原因还有一个 是选取的样本是有针对性的 都是勒索 个数又少 大家样本区一扫都入库了 又不敢双击 都等着别人双击 那你的测试就有看头了

这样本不是我挑的，有些样本挑的不太好，太老了，都是那种上古病毒新变种，所以用20年7月库会HEUR掉一大半，我这才用一年前的软件测试的，帖子里也写的很清楚了，看样子你是没看。

对于一年前的卡巴来说，只漏了三个，而且加强后的2021SW补杀了两个，这结果我觉得很可以了。我前面也说过，实际遇到最新病毒的防御能力应该>=本帖结果。

对于一年前的卡巴，这些不是最新病毒吗？非要拿最新库来测最新病毒才行？为了圆你的神论不择手段了吗。


你在这瞎猜的我就不做评论了。

但是技术上你分不开影响因素 是我的话前前后后想明白了就不会提控制变量法了

启发掉的样本我已经都记录了，排除启发的就是主防杀得了，这个应该很清楚了吧，大前面的问题还要来轱辘一遍？

以上几点如果你觉得我没道理你就说 不要拐弯抹角说我什么自以为是啦钻牛角尖什么的 那就又逊了一个档次了

很明显本帖这些东西都是我之前说过了，很显然你没搞懂，我也不知道该说啥好了，车轱辘话来回滚。

BitterLotus

各位大佬，再吵下去henry的人气都快不够加了

温馨小屋

BitterLotus 发表于 2021-2-18 17:25
各位大佬，再吵下去henry的人气都快不够加了

我记得我发这个贴的时候才430+人气，现在都500+了

估计没啥可吵得了，要陷入车轱辘话怪圈了。