卡巴斯基主防测试(断网锁库)

欧阳宣

温馨小屋 发表于 2021-2-19 15:34
建议清醒清醒在说话，这两个命题之间有关系吗？

我当时用7月库只测了前7个文件夹，被扫描引擎杀了4 ...

被扫描引擎杀了4个，而且不全是HEUR杀，我换到2019年4月库依然杀了三个，2个HEUR杀一个普通特征杀。只能说BD那个楼的楼主选的样本质量不佳，

可以，说到这个测试的另一个局限点了，这里达成共识。你已经尽可能把库锁得不能再往前了，但是特征式以及HEUR检测依然有存在感，可见这两者有多强。。。

本帖测的是主防，关启发什么事

所以接着上面说的，就不能忽视启发这个事。谁叫卡巴这个例子里断网下启发和主防分不开呢 你找个安装包 全程断网环境直接装上 再关监控 启发库+主防的组合就已经存在了。你打算怎么抠掉它？就没有单测主防这回事。

把引擎扫描杀得样本剔除掉就是主防杀的了

接着上面说，HEUR会盖过很多可能主防也会报的样本。韦恩图你总学过吧？想象一个两个集合的韦恩图，A∩B你怎么知道是空集？

启发的比例是远远低于主防拦截率的，我都剔除掉了你还在这一直强调启发。面对全新病毒家族大概率没什么用

一个19年的库能用启发检测出20年年中的勒索的话，我觉得卡巴启发怎么还挺强的呢……

你现在又改口把非主防杀说成“扫描杀”，而且把启发入库四个字连着说，想要进一步剥离启发对测试结果的影响。但是你我都知道启发和入库是两回事。拿BD的例子，启发是Gen:Trojan.Heur.dnKfkhRVjRib 入库是Trojan.GenericKD.36340371 两种检测特征的编写都不一样的，启发本身也是主防没发展起来之前常见的应对未知威胁的方式，这你也清楚，我觉得应该正视，没有必要只把主防看作应对未知威胁的唯一手段。

再者十个样本里2个HEUR确实不能忽略的 你想想同样的样本，19年4月能HEUR出来2个，20年7月仅7个样本里能总计检测的都有4个，那如果真实情况启发库近似最新，十个样本里HEUR出来的能有多少？非HEUR能有多少？只可能更多，就算没有KSN说不定都杀个八九不离十。按你描述，除了启发，非启发特征库都有了防御部分未知样本的功效了，那主防更被掩盖在后面了。

完全符合这个要求的测试对样本要求极高，基本是无法达到的

很简单 放弃对这个要求的执念，盯着样本区就是了。真正八九成符合遇到全新样本的情况的测试方法就是先更新，再把你要的样本下载了，再断网。我对“遇到全新文件的情形”的定义，那行绿色的字不知道你看了没，这和你的模拟条件差太多了，出来的结果肯定也差太多了，卡巴的表现应当比这更强。

BD样本池也够大吧，我在样本区每天至少能遇到一两个BD也不认识，需要上传沙箱的可执行文件，你可以去翻翻我回复过的样本区帖子，和楼主的发帖时间比对一下就知道了。文件是有的，按你自己平时使用的习惯去双击就完了，你自己刚刚说KSN拉黑速率要花一天，那完全来得及在KSN发现之前自己去双击，网都不用断，不用像我一样过三四个小时样本就被Gen.Suspicious.Cloud了。

只是这么做第一麻烦，第二可能没有分赚，没有人欢呼而已。具体下来看你发帖图什么了。到底图的是真实结果呢 还是图个节目效果
也怪我，有些事表达能力所限说的不是特别精确，但是相信通过韦恩图那个例子你应该明白我为什么总提启发了

温馨小屋

欧阳宣 发表于 2021-2-19 23:28
可以，说到这个测试的另一个局限点了，这里达成共识。你已经尽可能把库锁得不能再往前了，但是特征式以 ...

你已经尽可能把库锁得不能再往前了，但是特征式以及HEUR检测依然有存在感，可见这两者有多强

20组样本就启发出来几个，这叫强？加个壳就启发不了了，这玩意运气概率太大了，排除样本选择的问题，启发检测率都可以忽略了，特征报是因为毒就是老毒，不是因为有前瞻性，这个要分清。

库并不是锁得不能再往前了，2020是在保证不特征杀太多的情况下的最新版本。

所以接着上面说的，就不能忽视启发这个事。谁叫卡巴这个例子里断网下启发和主防分不开呢 你找个安装包 全程断网环境直接装上 再关监控 启发库+主防的组合就已经存在了。你打算怎么抠掉它？

没法把组件删掉=分不开，无法忽视启发存在？神逻辑。这就是故意偏题了。

你……不是故意锁库了吗？你用19年安装包里带的库去扫这些20年的勒索 刨去主防的 可不就是启发？非启发式检测也还能检测一年后的勒索？你解释下？别告诉我卡巴有超越世间未卜先知直接提前入库的事

唉，我前一个帖子说的看起来你没怎么看，这个包里不全是新毒，有些老毒变种。

一个19年的库能用启发检测出20年年中的勒索的话，我觉得卡巴启发怎么还挺强的呢……

你的感觉是真的离谱，把诺顿的AdvML拉过来怕是能灭掉一半样本，这种才是真的强，卡巴这检测率都近似瞎猫碰死耗子了。

你现在又改口把非主防杀说成“扫描杀”

你真没啥可说了吗，这都是客观事实，有啥改口的，因为样本里有4个并不是启发杀，很明显的入库老毒，所以扫描杀更准确一些。

19年4月能HEUR出来2个，20年7月仅7个样本里能总计检测的都有4个

我上个帖子说的你是真看不见还是装傻？20年7月的库里检测的那4个，2个是入库老毒，一个是2018年的古病毒，还有一个是原贴样本包之外的来历不明的病毒，多出来的那一个也不是启发杀，你注意一下，样本包里有6月的样本，7月肯定入库了啊。整个包里真能启发的也就这俩，你用这个数据来推导完全就是闹笑话。

按你描述，除了启发，非启发特征库都有了防御部分未知样本的功效了，那主防更被掩盖在后面了。

不要故意错误理解，被非启发定义杀只能说明此样本是老毒变种，测BD不用考虑这些，测卡巴其实都应该剔除这些老样本的，因为样本时间跨度太大导致无法用20年7月的库测试，只能往前推。不知道你一劲想方设法的吹卡巴启发是啥意思，圆不过来就歇了吧，对线挺累的。

BD样本池也够大吧，我在样本区每天至少能遇到一两个BD也不认识，需要上传沙箱的可执行文件，你可以去翻翻我回复过的样本区帖子，和楼主的发帖时间比对一下就知道了。文件是有的，按你自己平时使用的习惯去双击就完了，你自己刚刚说KSN拉黑速率要花一天，那完全来得及在KSN发现之前自己去双击，网都不用断，不用像我一样过三四个小时样本就被Gen.Suspicious.Cloud了。

样本区的样本并不都是第一时间发出来的，KSN也不是每个样本都一天时间拉黑的，有些样本转眼就UDS了，不少样本根本不用双击就已经拉黑了，在病毒传播到有人拿来发帖之间可能存在很长时间了，所以能不能在“接近真实情况”双击某个样本是要看运气的，有些看起来比较著名的样本往往没有双击机会，因为流行度越高拉黑越快。当年想哭病毒想双击就只能断网锁库，等你拿到样本早拉黑了。

很简单 放弃对这个要求的执念，盯着样本区就是了。

我为什么要测这个？不是孤芳自赏，我是想和隔壁的BD对比一下，因为隔壁出了那个测试，我才做这个测试的，为了统一变量，我就用了他的病毒包。在2016年的那个主防测试里，ATC防御勒索对卡巴是有绝对优势的，我也知道卡巴的表现应当比这更强，所以后面也补测了2021。但是在自废武功的情况下，卡巴几乎和BD拦截率相差无几，在有回滚的情况下可以比BD更好地避免部分加密问题，如果再加上PDM定义更新，理论上主防应该还能强一些，所以卡巴SW近两年来的进步还是很大的，我甚至感觉BD有点退步。盯着样本区的话，不一定每贴都是有BD的，我的虚拟机只有卡巴和诺顿，我知道诺顿有多垃圾，但是BD我还真是不太清楚。在能和隔壁对比的前提下尽可能的接近真实环境，就出了本帖的一系列操作。

所以我前面就说过，想看严谨的真实世界测试去看AVC，在这里能得出一个大致结论就行了，吹毛求疵的话我只能理解为找茬。

点病毒只是业余娱乐，我也不在乎分数多少，分数又不能吃，只是一个存在于论坛数据库的一个字段而已，价值并不高。不要随意猜测。

接着上面说，HEUR会盖过很多可能主防也会报的样本。

刚看到编辑，我自己看结果都是把扫描杀的单拿出来看，也可以理解为双方都去掉这些样本后继续对比，所以死磕启发不是必须的事情，把启发拿掉不就能单看主防了。我前面一劲强调我把扫描杀的都单列出来了，就是这个意思，看起来你还是没看明白。

主要还是样本不够多不够好，要是样本选取再下点功夫你应该就不会这么说了。

欧阳宣

温馨小屋 发表于 2021-2-20 00:33
20组样本就启发出来几个，这叫强？加个壳就启发不了了，这玩意运气概率太大了，排除样本选择的问题，启 ...

那……我把那个韦恩图的例子用中文说好了

然后我也不说启发强不强了 根据你主楼结果 19年4月那个情况下的结果里是不是各个来源的检测都有？至少有一个HEUR，一个入库。在你的帖子里有三个来源的检测：HEUR（2，7号），特征库（4号），主防

在HEUR和特征库检测里有没有主防也能检测的例子？不能排除这个可能性你就说不出“单测主防”这四个字 你说刨掉启发就是主防检测，那HEUR检测的 主防就一定不会检测？

为了验证这一点，必须完全把HEUR和特征库都抠掉，也就是在此情况下，即便双击2,4,7号，HEUR和特征库报法都不会出现，完全是主防在面对这些样本。这才能确保“单测主防”四个字。卡巴版主也提过这一点的必要性，也提了特殊方式做到，但你这个测试里没有把这三个检测来源择清楚。

你可能需要补充一下集合的知识，高中数学第一单元就是这个。

温馨小屋

欧阳宣 发表于 2021-2-20 04:02
那……我把那个韦恩图的例子用中文说好了

然后我也不说启发强不强了 根据你主楼结果 19年4月那个情况 ...

在HEUR和特征库检测里有没有主防也能检测的例子？不能排除这个可能性你就说不出“单测主防”这四个字 你说刨掉启发就是主防检测，那HEUR检测的 主防就一定不会检测？

你在回去仔细看一看上一贴好不好，扫描杀掉的那几个确实不知道主防杀不杀，也可能和BD一样出现主防漏上古病毒的情况，直接扣除那几个样本比剩下的不就行了？

我不管扫描杀的主防会不会杀，我不要这部分样本了，懂？

接着上面说，HEUR会盖过很多可能主防也会报的样本。韦恩图你总学过吧？想象一个两个集合的韦恩图，A∩B你怎么知道是空集？

B-A不就是纯主防杀的了吗，我早就说过的事情，你这还没搞懂还试图复杂化并嘲讽我的学历，没啥可说的就别给自己找话说了，基本的逻辑都有问题。

为了验证这一点，必须完全把HEUR和特征库都抠掉，也就是在此情况下，即便双击2,4,7号，HEUR和特征库报法都不会出现，完全是主防在面对这些样本。这才能确保“单测主防”四个字。卡巴版主也提过这一点的必要性，也提了特殊方式做到，但你这个测试里没有把这三个检测来源择清楚。

建立在错误论据上的错误观点，不评论了。

欧阳宣

温馨小屋 发表于 2021-2-20 09:59
你在回去仔细看一看上一贴好不好，扫描杀掉的那几个确实不知道主防杀不杀，也可能和BD一样出现主防漏上古 ...

B-A只是纯主防杀的前提是B和A没有交集……你果然没学过集合

不会吧 为了否定除了主防以外的其他检测 你直接耍无赖说你眼里只有主防检测的样本 自己测出来的测试结果都要忽略吗？

HEUR能杀的样本一定能过主防 HEUR和主防的能力就一点也没有重复 这一点你能不能确认？能不能？回答我

温馨小屋

欧阳宣 发表于 2021-2-20 11:58
B-A只是纯主防杀的前提是B和A没有交集……你果然没学过集合

不会吧 为了否定除了主防以外的其他检测  ...

B-A只是纯主防杀的前提是B和A没有交集……你果然没学过集合

在固定样本空间里，如果事件A是扫描杀，事件B是主防杀的话，事件AB就是主防和扫描都会杀的情况，P(B-A)=P(B)-P(AB)，有没有交集这个式子都是成立的，或者用事件的差的定义解释也可以。不知道你们家的集合论是怎么学的。

因为我们现在并不知道P(AB)是多少，因为扫描杀了就不能再测主防了，但是我们知道事件AB一定是属于A的，所以从事件B里去掉所有也属于事件A的样本点，剩下的样本点就只属于事件B。

HEUR能杀的样本一定能过主防 HEUR和主防的能力就一点也没有重复 这一点你能不能确认？能不能？回答我

好了，确认了你的眼睛确实不太好用。

这个问题我在上一贴和上上贴都提过了，那我就再重新说一遍，HEUR杀的病毒能不能过主防不清楚，因为无法测试，所以在本次测视里他俩能力有没有重复是不清楚的。我个人认为被启发的样本应该大多主防都能杀，被启发掉不是老病毒那就是有比较典型的模式的毒，不过不排除像BD那样老样本还能过ATD，所以这部分无法得出结论，只能排除掉。

不会吧 为了否定除了主防以外的其他检测 你直接耍无赖说你眼里只有主防检测的样本 自己测出来的测试结果都要忽略吗？

你看看本帖标题是啥，这是谁耍无赖啊。无法得出结论的部分否定掉有问题吗，你这句话逻辑漏洞百出啊。

欧阳宣

温馨小屋 发表于 2021-2-20 14:36
在固定样本空间里，如果事件A是扫描杀，事件B是主防杀的话，事件AB就是主防和扫描都会杀的情况，P(B-A)=P ...

因为我们现在并不知道P(AB)是多少，因为扫描杀了就不能再测主防了，但是我们知道事件AB一定是属于A的，所以从事件B里去掉所有也属于事件A的样本点，剩下的样本点就只属于事件B。

很有道理，你知道事件B里也属于事件A的样本点有多少么？你自己说了，不知道。因此，蓝字部分和你测试没有关系，你也不能拿来当成什么佐证，拿你的话说，就是在说车轱辘话。

下面是不是要搞清楚P（AB）是多少？所以是不是要把启发和主防检测完全分离？能不能做到？那位前版主说可以。你这个测试里做到了么？没有。

如果你有办法分离掉启发库，就是保证绝无HEUR的可能了，按你说的A为扫描杀的话，就是通过保证P(A)=0来确保P(AB)=0了，这才是一个主防测试。但是这是不是就和现实中“遇到全新病毒的情形”离得更远了？只有主防的卡巴环境上哪去找？即便在上面另个人提到的学校实验室环境，就算真有人觉得离线装上个卡巴从不更新也能拿来说事，没问题，胆子大就可以装，那启发库和主防是不是至少同时装在了电脑上？这样的情况一旦出现，是不是P(AB)就无法确保为0了？

目前可以确认的是你的测试环境里，和日常使用环境里，主防和启发无法完全分开。

再看看你的思路：你想通过断网锁库的方式，模拟极端条件下杀软又没有云拉黑又没有入库的情况，你认定这个情况下只有主防有作用，并认为这个只有主防的情况是一个“遇到全新病毒的情形”，于是把自己的这个测试叫主防测试。

你疯狂抱怨我第一拿着实际场景说事，第二拿着测试结果里的启发检测说事，那正是因为你实验的目的和手段分别就是和这两点有冲突。

目的上，你认为面对未知病毒只有主防有作用，因此希望单独剥离主防，虽然没有完全成功，但是你口中的理想情况是只有主防。不过你口中的“遇见最新病毒的情形”也不是只有主防在单干，这是你自己测试的结果证明了的。“遇见最新病毒的情形”这九个字不是你的测试能够模拟的，你其实是在主动背离它，因此你也不能拿这九个字来为自己的测试寻找什么合理性和普适性。

手段上，你断网锁库，但是因为启发和主防没有办法剥离，你的主防测试里居然出现了特征检测和启发检测的例子。我教你个瞒过去的方法：下次精心挑选一下样本，只留出主防检测的样本，制造一个P(A)=0的假象，那就谁也看不出来了

所以我感觉你自己给自己制造了一个……困境。一头是所谓的“只有主防”，一头是“遇见最新病毒的情形”，只可惜在卡巴这个例子里，这两头是矛盾的，但你又两头都想要。

真是令人摸不到

建议测测Avast主防

温馨小屋

欧阳宣 发表于 2021-2-20 16:22
因为我们现在并不知道P(AB)是多少，因为扫描杀了就不能再测主防了，但是我们知道事件AB一定是属于A的，所 ...

因此，蓝字部分和你测试没有关系，你也不能拿来当成什么佐证，拿你的话说，就是在说车轱辘话。

你一定要一厢情愿没有关系，我也没办法。AB部分目前是无法知晓的，拿来也得不出结论。

下面是不是要搞清楚P（AB）是多少？所以是不是要把启发和主防检测完全分离？能不能做到？那位前版主说可以。你这个测试里做到了么？没有。

不是，为什么要搞清楚AB？那就成真实世界测试了，不是主防测试了，请不要偏题。就算能通过加壳等奇怪手段过掉启发，成本太高，而且有一定概率损坏样本。

但是这是不是就和现实中“遇到全新病毒的情形”离得更远了？只有主防的卡巴环境上哪去找？

又开始强行带入实际了，首先不符合实际不等于没有意义，这点你似乎一直也理解不了。因为面对新病毒时启发并不是主力军，存在碰运气因素，去掉也是为了简化实验。比如PS勒索类病毒，启发杀了一个样本，下一个能不能杀那就不一定了，但是SW杀了一个PS样本，下一个大概率也能杀，所以近1个月来样本区众多ps勒索卡巴没一个漏的，能启发掉的是绝对的少数。面对新病毒，八九成概率还是要到主防这一层的，连续强调启发的重要性就是舍本逐末，买椟还珠。

目的上，你认为面对未知病毒只有主防有作用，因此希望单独剥离主防，虽然没有完全成功，但是你口中的理想情况是只有主防。不过你口中的“遇见最新病毒的情形”也不是只有主防在单干，这是你自己测试的结果证明了的。“遇见最新病毒的情形”这九个字不是你的测试能够模拟的，你其实是在主动背离它，因此你也不能拿这九个字来为自己的测试寻找什么合理性和普适性。

我并没有认为只有主防有作用，别自己加戏，主防的作用是占大多数的，HEUR启发简单的加个强壳就过了，而且以卡巴的市场占有量，被针对是常事，所以只测主防，这是大致符合“遇见最新病毒的情形”现实的，你非要舍本逐末找细节的话我也没有办法。

手段上，你断网锁库，但是因为启发和主防没有办法剥离，你的主防测试里居然出现了特征检测和启发检测的例子。我教你个瞒过去的方法：下次精心挑选一下样本，只留出主防检测的样本，制造一个P(A)=0的假象，那就谁也看不出来了

你又开始自己加戏了，测卡巴主防时出现入库或者启发应该是可以预见的事，P(A)!=0并不影响测试主防，前面说过了如何去除库的影响，你在这又来没办法剥离，现在这个对线已经成功的陷入怪圈了，我前面发的东西你都视而不见继续按原观点输出，还说不出个道理来，逻辑都不通顺了。再这样下去就没意义了。

一头是所谓的“只有主防”，一头是“遇见最新病毒的情形”，只可惜在卡巴这个例子里，这两头是矛盾的，但你又两头都想要。

“遇见最新病毒的情形”大概率是靠主防来防的，所以“只有主防”的情形是可以反映现实的，你非要抓住启发这个细枝末节然后把他们看成矛盾的，我真的是没有办法，叫不醒装睡的人。


举个例子：
研究运动模型怎么出现绝对光滑的平面啊，众所周知摩擦力是不可能被消除的，所以你这个研究是脱离实际的，是没有意义的，一头是所谓的“光滑平面”，一头是“现实中的运动的应用”，这可惜在这个研究里，两头是矛盾的，可两头又都想要。

目前可以确认的是你的测试环境里，和日常使用环境里，施加外力和摩擦力的影响无法完全分开。

再看看你的思路：你想通过使用摩擦系数很小的平面和小车的方式，模拟极端条件下物体在平面上的运动的情况，你认定这个情况下只有施加外力有作用，并认为这个只有施加外力的情况是一个“实际平面上物体的运动情况”，于是把自己的这个测试叫平面小车实验。

你疯狂抱怨我第一拿着实际场景说事，第二拿着测试结果里的摩擦力影响说事，那正是因为你实验的目的和手段分别就是和这两点有冲突。

目的上，你认为物体运动只有施加外力有作用，因此希望单独剥离施加外力，虽然没有完全成功，但是你口中的理想情况是只有施加外力。不过你口中的“实际平面上物体的运动情况”也不是只有施加外力在单干，这是你自己测试的结果证明了的。“实际平面上物体的运动情况”这几个字不是你的测试能够模拟的，你其实是在主动背离它，因此你也不能拿这几个字来为自己的测试寻找什么合理性和普适性。

手段上，你用摩擦系数很小的平面，但是因为摩擦力作用和施加外力作用没有办法剥离，你的施加外力测试里居然出现了施加外力以外的摩擦力的影响。我教你个瞒过去的方法：下次精心挑选一下数据，只留出施加外力的数据，制造一个摩擦力=0的假象，那就谁也看不出来了.

万能套话，可以套入所有理想实验，高阶杠精，在下佩服

Shake2333

好家伙，我测eset的没人看，这里竟然热火朝天，我酸了