卡巴斯基主防测试(断网锁库)

BitterLotus

温馨小屋 发表于 2021-2-18 17:33
我记得我发这个贴的时候才430+人气，现在都500+了

估计没啥可吵得了，要陷入车轱辘话怪圈了。

他难道能刷人气？

shulun743

温馨小屋 发表于 2021-2-18 14:24
64位系统，64位软件，这年头除了老爷机谁还用32。

卡巴主防在64位下运行稳定吗？ 我记得360的 核晶引擎 总是出问题，兼容性问题

温馨小屋

shulun743 发表于 2021-2-18 18:21
卡巴主防在64位下运行稳定吗？ 我记得360的 核晶引擎 总是出问题，兼容性问题

为啥会不稳定，360不行那是360的问题，64位主防的争论应该还是10年前比较多的，现在大厂的杀软稳定性都没什么问题。

流水寒丶

对于欧阳兄说话带着讽刺这件事情，我已经喷过他n次了，我的魅力分有一半都是喷他扣的，哈哈哈，好久没上论坛了，欧阳兄还是这么生猛，祝你新年快乐

温馨小屋

流水寒丶 发表于 2021-2-18 22:06
对于欧阳兄说话带着讽刺这件事情，我已经喷过他n次了，我的魅力分有一半都是喷他扣的，哈哈哈，好久没上论 ...

对于他的生猛我早有耳闻，现在我算是领教了

新年快乐

欧阳宣

温馨小屋 发表于 2021-2-18 17:07
很显然启发想过掉也没那么困难，加个强点的壳就能过掉大部分HEUR，vmp这类大多数引擎都脱不了，但是行 ...

而且卡巴的HEUR和诺顿的AdvML不一样，这种启发特征明显广谱度比机器学习模型要差，所以在样本区新病毒启发不出来是常事

第一请不要扯一个完全另外的牌子和技术，第二如果卡巴启发广谱性不高的话，20年7月的库怎么可能按你说的HEUR掉一大半测试样本？实际场景里断网遇到这些勒索的话，HEUR检测的几率只会更大，因为启发库更新。这是启发牛逼的地方。但是你为了你的单测主防却又要避免它，你给自己无形中制造了一个矛盾。

又开始疯狂往实际场景里带入，无语了，不解释了。对实际情况这么执着吗，想单测个主防还得找个实际情况？

因为首先这是我最开始提出的点，其次这是个你无法回避的点，卡巴这个例子里没法单测的。实际断网情况下，卡巴贴心地把启发式和主防一起作为防御的部分，我觉得这是好事，实际证明启发式效果也挺有存在感的。

你想要单测主防，但是启发库的作用这里看起来又无法忽略，于是你开始否定启发式在断网防御下的作用，一直在说过启发如何如何简单云云。但一个未更新的启发式的库能够启发出来一年后的样本是很牛逼的，这比啥都有说服力，正说明断网下更新启发库是非常重要的，这也使得单测主防变得更加不可能了，因此

1.相当于你提到的单测主防的实验条件自己都达不到
2.你也不能把这个测试里的结果用来模拟你说的“遇见最新病毒的情形”。

你肯定又要说我这些是车轱辘话了罢，那些给你加人气的id也不知道有没有胆量平时锁着库用卡巴。KSN未收录太正常了，但是有谁平时不更新特征库呢？你说我总咬着实际场景说事，那是因为你自己也宣称这个测试在模拟“遇见最新病毒的情形”。

“遇见最新病毒的情形”本身就是一个实际场景。

你确实把启发杀和主防杀分开了 但是测试里的样本最新有20年12月的样本，你用的却是19年4月的启发库和主防啊大哥。你一面想要模拟实际，一面其实在脱离实际。

真正的“遇见最新病毒的情形”是什么呢？是KSN未收录，但本地主防和库保持较新。

抱歉字体大小有变化，我只是复制了你的原话。

itcql

HEMM 发表于 2021-2-18 07:57
知乎游戏乎友~推荐了我不少游戏，很感激........
我特别爱看他们说的游戏感受，图文并茂........ ...

很有这（哲）里（理）！

HEMM

流水寒丶 发表于 2021-2-18 22:06
对于欧阳兄说话带着讽刺这件事情，我已经喷过他n次了，我的魅力分有一半都是喷他扣的，哈哈哈，好久没上论 ...

我觉得他挺可爱的啊，他从没喷过我，即使我讲话很奇怪，错误满天飞~
哈哈哈，你和他气场不合~
聊不来就不聊，这样就不会被扣分了，一起斗地主啊~抢地主，加倍~

温馨小屋

欧阳宣 发表于 2021-2-19 00:33
第一请不要扯一个完全另外的牌子和技术，第二如果卡巴启发广谱性不高的话，20年7月的库怎么可能按你说 ...

如果卡巴启发广谱性不高的话，20年7月的库怎么可能按你说的HEUR掉一大半测试样本？

建议清醒清醒在说话，这两个命题之间有关系吗？

我当时用7月库只测了前7个文件夹，被扫描引擎杀了4个，而且不全是HEUR杀，我换到2019年4月库依然杀了三个，2个HEUR杀一个普通特征杀，只能说BD那个楼的楼主选的样本质量不佳，要是我选的话绝对不会找这种样本，和启发广谱度是八竿子打不着的事广谱了

你去样本区点几个月你就知道谁广谱了，卡巴的启发基本都是流行病毒家族，对于各种奇奇怪怪的小众自制病毒，AdvML的效果比卡巴的启发好多了。

实际场景里断网遇到这些勒索的话，HEUR检测的几率只会更大，因为启发库更新。这是启发牛逼的地方。但是你为了你的单测主防却又要避免它，你给自己无形中制造了一个矛盾。

又来强行带入实际了，本帖测的是主防，关启发什么事，关整体防御率什么事情，这些都是跑题的东西。

因为首先这是我最开始提出的点，其次这是个你无法回避的点，卡巴这个例子里没法单测的。实际断网情况下，卡巴贴心地把启发式和主防一起作为防御的部分，我觉得这是好事，实际证明启发式效果也挺有存在感的。

把引擎扫描杀得样本剔除掉就是主防杀的了，又搁这强行剔除不掉？我都把启发的内容单计出来了，你还在这一直没办法单测。装傻充愣？剔除掉扫描杀的，除了主防杀还能用有啥杀？你也是说清楚啊，别一直强行带入实际。

你想要单测主防，但是启发库的作用这里看起来又无法忽略，于是你开始否定启发式在断网防御下的作用，一直在说过启发如何如何简单云云。但一个未更新的启发式的库能够启发出来一年后的样本是很牛逼的，这比啥都有说服力，正说明断网下更新启发库是非常重要的，这也使得单测主防变得更加不可能了

为什么无法忽略？启发本来就是个看运气的东西，碰到这个家族就杀了，启发的比例是远远低于主防拦截率的，我都剔除掉了你还在这一直强调启发。面对全新病毒家族大概率没什么用。

“遇见最新病毒的情形”本身就是一个实际场景。

确实，你可以这么理解，但是完全符合这个要求的测试对样本要求极高，基本是无法达到的，所以只能尽可能模拟这个场景。至于被启发的病毒家族，还能算完全的最新病毒吗？比如那个FRS勒索，上古病毒，2018年就出现这个病毒了，这种显然没办法算最新病毒，启发定义是有滞后性的，如果出现一个最新的病毒家族，或者APT那种样本，启发基本没什么用，样本区刷的多的话应该看得很明显，所以我说本帖样本选的不好，2019年库还能有非启发入库的内容。

我前面几个贴都提过这个事，你依然用本帖启发多的结果来推导出启发也是应对最新病毒重要一环这个结论，确实是不合逻辑的，本帖里7个扫描杀，有4个被报出了具体病毒名，显然这个是很老的病毒了，首次出现时间应该是早于2019-4的，再加上一个上古FRS勒索，被HEUR启发的新病毒只有2个，剩下两个被启发其中之一得Ransom.lazparking (2020-12-02)，原贴只有2个样本文件，这里却有三个，剩下的一个来源不明，原贴里的样本都没被启发。另一个被杀样本里的两个文件唯一区别就是一个加了UPX，另一个没加，没加UPX的启发了，加了的miss了。这叫很牛逼？这叫很有说服力？

综上所述，启发杀这个东西面对新病毒并不完全靠谱，如果是全新病毒而不是家族变种的话，作用并不大，而且如果被针对的话，过掉的概率很大。在面对全新威胁时，主防是起着主要作用的，所以剔除启发的测试模拟个八九成全新病毒的情况，是没有问题的。想想当时想哭病毒有几家能启发出来？要是强行带入实际，和实际有区别那就是脱离实际，这你一厢情愿的事情没法解释啊。

你一面想要模拟实际，一面其实在脱离实际

你这句话实在是好笑，模拟实际是模拟，不是真实的实际，因为没有别的办法所以只能把库退到大部分样本还没有启发入库之前，然后这就被你称为脱离实际？在现有样本下这已经是最接近实际的测试了，19年的主防怎么了？对于19年的主防就不是全新病毒吗？这个没办法解释了，这是你的逻辑问题。


实验条件达不到完全模拟全新病毒的情况，只能通过回退主程序日期来实现，因为库不够新你来这指责我脱离实际，这种操作纯属找茬。19年的主防达到这种防御水平，这不能反映实际吗？你去看看AVC做回溯性测试花了多大功夫，要是达到你的要求我这一个月别干别的了，收集样本就行了，照你这种标准论坛里没人能做出来，要不您来做一个不脱离实际的，别光嘴上说说，让我们看看啥叫不脱离实际。别自己摸鱼划水然后天天指责卡饭质量越来越低，我得好几年没看到过卡巴的主防测试了。

温馨小屋

HEMM 发表于 2021-2-19 12:43
我觉得他挺可爱的啊，他从没喷过我，即使我讲话很奇怪，错误满天飞~
哈哈哈，你和他气场不合~
聊不来就 ...

现在想想，我知道他是啥样的我还跟他对个啥线啊，最后也不会有结果的。

聊不来就不聊，这样比较省心，当时不理他就没这些事了，唉，对线真累