楼主: 温馨小屋
收起左侧

[讨论] 卡巴斯基主防测试(断网锁库)

  [复制链接]
欧阳宣
头像被屏蔽
发表于 2021-2-19 23:28:53 | 显示全部楼层
本帖最后由 欧阳宣 于 2021-2-19 23:47 编辑
温馨小屋 发表于 2021-2-19 15:34
建议清醒清醒在说话,这两个命题之间有关系吗?

我当时用7月库只测了前7个文件夹,被扫描引擎杀了4 ...
被扫描引擎杀了4个,而且不全是HEUR杀,我换到2019年4月库依然杀了三个,2个HEUR杀一个普通特征杀。只能说BD那个楼的楼主选的样本质量不佳,

可以,说到这个测试的另一个局限点了,这里达成共识。你已经尽可能把库锁得不能再往前了,但是特征式以及HEUR检测依然有存在感,可见这两者有多强。。。

本帖测的是主防,关启发什么事

所以接着上面说的,就不能忽视启发这个事。谁叫卡巴这个例子里断网下启发和主防分不开呢 你找个安装包 全程断网环境直接装上 再关监控 启发库+主防的组合就已经存在了。你打算怎么抠掉它?就没有单测主防这回事。

把引擎扫描杀得样本剔除掉就是主防杀的了

接着上面说,HEUR会盖过很多可能主防也会报的样本。韦恩图你总学过吧?想象一个两个集合的韦恩图,A∩B你怎么知道是空集?

启发的比例是远远低于主防拦截率的,我都剔除掉了你还在这一直强调启发。面对全新病毒家族大概率没什么用

一个19年的库能用启发检测出20年年中的勒索的话,我觉得卡巴启发怎么还挺强的呢……

你现在又改口把非主防杀说成“扫描杀”,而且把启发入库四个字连着说,想要进一步剥离启发对测试结果的影响。但是你我都知道启发和入库是两回事。拿BD的例子,启发是Gen:Trojan.Heur.dnKfkhRVjRib 入库是Trojan.GenericKD.36340371 两种检测特征的编写都不一样的,启发本身也是主防没发展起来之前常见的应对未知威胁的方式,这你也清楚,我觉得应该正视,没有必要只把主防看作应对未知威胁的唯一手段。

再者十个样本里2个HEUR确实不能忽略的 你想想同样的样本,19年4月能HEUR出来2个,20年7月仅7个样本里能总计检测的都有4个,那如果真实情况启发库近似最新,十个样本里HEUR出来的能有多少?非HEUR能有多少?只可能更多,就算没有KSN说不定都杀个八九不离十。按你描述,除了启发,非启发特征库都有了防御部分未知样本的功效了,那主防更被掩盖在后面了。
完全符合这个要求的测试对样本要求极高,基本是无法达到的

很简单 放弃对这个要求的执念,盯着样本区就是了。真正八九成符合遇到全新样本的情况的测试方法就是先更新,再把你要的样本下载了,再断网。我对“遇到全新文件的情形”的定义,那行绿色的字不知道你看了没,这和你的模拟条件差太多了,出来的结果肯定也差太多了,卡巴的表现应当比这更强。

BD样本池也够大吧,我在样本区每天至少能遇到一两个BD也不认识,需要上传沙箱的可执行文件,你可以去翻翻我回复过的样本区帖子,和楼主的发帖时间比对一下就知道了。文件是有的,按你自己平时使用的习惯去双击就完了,你自己刚刚说KSN拉黑速率要花一天,那完全来得及在KSN发现之前自己去双击,网都不用断,不用像我一样过三四个小时样本就被Gen.Suspicious.Cloud了。

只是这么做第一麻烦,第二可能没有分赚,没有人欢呼而已。具体下来看你发帖图什么了。到底图的是真实结果呢 还是图个节目效果
也怪我,有些事表达能力所限说的不是特别精确,但是相信通过韦恩图那个例子你应该明白我为什么总提启发了


温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-20 00:33:08 | 显示全部楼层
本帖最后由 温馨小屋 于 2021-2-20 00:43 编辑
欧阳宣 发表于 2021-2-19 23:28
可以,说到这个测试的另一个局限点了,这里达成共识。你已经尽可能把库锁得不能再往前了,但是特征式以 ...
你已经尽可能把库锁得不能再往前了,但是特征式以及HEUR检测依然有存在感,可见这两者有多强

20组样本就启发出来几个,这叫强?加个壳就启发不了了,这玩意运气概率太大了,排除样本选择的问题,启发检测率都可以忽略了,特征报是因为毒就是老毒,不是因为有前瞻性,这个要分清。

库并不是锁得不能再往前了,2020是在保证不特征杀太多的情况下的最新版本。
所以接着上面说的,就不能忽视启发这个事。谁叫卡巴这个例子里断网下启发和主防分不开呢 你找个安装包 全程断网环境直接装上 再关监控 启发库+主防的组合就已经存在了。你打算怎么抠掉它?

没法把组件删掉=分不开,无法忽视启发存在?神逻辑。这就是故意偏题了。
你……不是故意锁库了吗?你用19年安装包里带的库去扫这些20年的勒索 刨去主防的 可不就是启发?非启发式检测也还能检测一年后的勒索?你解释下?别告诉我卡巴有超越世间未卜先知直接提前入库的事

唉,我前一个帖子说的看起来你没怎么看,这个包里不全是新毒,有些老毒变种。
一个19年的库能用启发检测出20年年中的勒索的话,我觉得卡巴启发怎么还挺强的呢……

你的感觉是真的离谱,把诺顿的AdvML拉过来怕是能灭掉一半样本,这种才是真的强,卡巴这检测率都近似瞎猫碰死耗子了。
你现在又改口把非主防杀说成“扫描杀”

你真没啥可说了吗,这都是客观事实,有啥改口的,因为样本里有4个并不是启发杀,很明显的入库老毒,所以扫描杀更准确一些。
19年4月能HEUR出来2个,20年7月仅7个样本里能总计检测的都有4个

我上个帖子说的你是真看不见还是装傻?20年7月的库里检测的那4个,2个是入库老毒,一个是2018年的古病毒,还有一个是原贴样本包之外的来历不明的病毒,多出来的那一个也不是启发杀,你注意一下,样本包里有6月的样本,7月肯定入库了啊。整个包里真能启发的也就这俩,你用这个数据来推导完全就是闹笑话。
按你描述,除了启发,非启发特征库都有了防御部分未知样本的功效了,那主防更被掩盖在后面了。

不要故意错误理解,被非启发定义杀只能说明此样本是老毒变种,测BD不用考虑这些,测卡巴其实都应该剔除这些老样本的,因为样本时间跨度太大导致无法用20年7月的库测试,只能往前推。不知道你一劲想方设法的吹卡巴启发是啥意思,圆不过来就歇了吧,对线挺累的。
BD样本池也够大吧,我在样本区每天至少能遇到一两个BD也不认识,需要上传沙箱的可执行文件,你可以去翻翻我回复过的样本区帖子,和楼主的发帖时间比对一下就知道了。文件是有的,按你自己平时使用的习惯去双击就完了,你自己刚刚说KSN拉黑速率要花一天,那完全来得及在KSN发现之前自己去双击,网都不用断,不用像我一样过三四个小时样本就被Gen.Suspicious.Cloud了。

样本区的样本并不都是第一时间发出来的,KSN也不是每个样本都一天时间拉黑的,有些样本转眼就UDS了,不少样本根本不用双击就已经拉黑了,在病毒传播到有人拿来发帖之间可能存在很长时间了,所以能不能在“接近真实情况”双击某个样本是要看运气的,有些看起来比较著名的样本往往没有双击机会,因为流行度越高拉黑越快。当年想哭病毒想双击就只能断网锁库,等你拿到样本早拉黑了。
很简单 放弃对这个要求的执念,盯着样本区就是了。

我为什么要测这个?不是孤芳自赏,我是想和隔壁的BD对比一下,因为隔壁出了那个测试,我才做这个测试的,为了统一变量,我就用了他的病毒包。在2016年的那个主防测试里,ATC防御勒索对卡巴是有绝对优势的,我也知道卡巴的表现应当比这更强,所以后面也补测了2021。但是在自废武功的情况下,卡巴几乎和BD拦截率相差无几,在有回滚的情况下可以比BD更好地避免部分加密问题,如果再加上PDM定义更新,理论上主防应该还能强一些,所以卡巴SW近两年来的进步还是很大的,我甚至感觉BD有点退步。盯着样本区的话,不一定每贴都是有BD的,我的虚拟机只有卡巴和诺顿,我知道诺顿有多垃圾,但是BD我还真是不太清楚。在能和隔壁对比的前提下尽可能的接近真实环境,就出了本帖的一系列操作。

所以我前面就说过,想看严谨的真实世界测试去看AVC,在这里能得出一个大致结论就行了,吹毛求疵的话我只能理解为找茬。

点病毒只是业余娱乐,我也不在乎分数多少,分数又不能吃,只是一个存在于论坛数据库的一个字段而已,价值并不高。不要随意猜测。

接着上面说,HEUR会盖过很多可能主防也会报的样本。

刚看到编辑,我自己看结果都是把扫描杀的单拿出来看,也可以理解为双方都去掉这些样本后继续对比,所以死磕启发不是必须的事情,把启发拿掉不就能单看主防了。我前面一劲强调我把扫描杀的都单列出来了,就是这个意思,看起来你还是没看明白。

主要还是样本不够多不够好,要是样本选取再下点功夫你应该就不会这么说了。

欧阳宣
头像被屏蔽
发表于 2021-2-20 04:02:51 | 显示全部楼层
本帖最后由 欧阳宣 于 2021-2-20 04:26 编辑
温馨小屋 发表于 2021-2-20 00:33
20组样本就启发出来几个,这叫强?加个壳就启发不了了,这玩意运气概率太大了,排除样本选择的问题,启 ...

那……我把那个韦恩图的例子用中文说好了

然后我也不说启发强不强了 根据你主楼结果 19年4月那个情况下的结果里是不是各个来源的检测都有?至少有一个HEUR,一个入库。在你的帖子里有三个来源的检测:HEUR(2,7号),特征库(4号),主防

在HEUR和特征库检测里有没有主防也能检测的例子?不能排除这个可能性你就说不出“单测主防”这四个字 你说刨掉启发就是主防检测,那HEUR检测的 主防就一定不会检测?

为了验证这一点,必须完全把HEUR和特征库都抠掉,也就是在此情况下,即便双击2,4,7号,HEUR和特征库报法都不会出现,完全是主防在面对这些样本。这才能确保“单测主防”四个字。卡巴版主也提过这一点的必要性,也提了特殊方式做到,但你这个测试里没有把这三个检测来源择清楚。

你可能需要补充一下集合的知识,高中数学第一单元就是这个。
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-20 09:59:18 | 显示全部楼层
欧阳宣 发表于 2021-2-20 04:02
那……我把那个韦恩图的例子用中文说好了

然后我也不说启发强不强了 根据你主楼结果 19年4月那个情况 ...
在HEUR和特征库检测里有没有主防也能检测的例子?不能排除这个可能性你就说不出“单测主防”这四个字 你说刨掉启发就是主防检测,那HEUR检测的 主防就一定不会检测?
你在回去仔细看一看上一贴好不好,扫描杀掉的那几个确实不知道主防杀不杀,也可能和BD一样出现主防漏上古病毒的情况,直接扣除那几个样本比剩下的不就行了?

我不管扫描杀的主防会不会杀,我不要这部分样本了,懂?
接着上面说,HEUR会盖过很多可能主防也会报的样本。韦恩图你总学过吧?想象一个两个集合的韦恩图,A∩B你怎么知道是空集?
B-A不就是纯主防杀的了吗,我早就说过的事情,你这还没搞懂还试图复杂化并嘲讽我的学历,没啥可说的就别给自己找话说了,基本的逻辑都有问题。
为了验证这一点,必须完全把HEUR和特征库都抠掉,也就是在此情况下,即便双击2,4,7号,HEUR和特征库报法都不会出现,完全是主防在面对这些样本。这才能确保“单测主防”四个字。卡巴版主也提过这一点的必要性,也提了特殊方式做到,但你这个测试里没有把这三个检测来源择清楚。
建立在错误论据上的错误观点,不评论了。



评分

参与人数 1人气 +1 收起 理由
henry217 + 1 原创内容

查看全部评分

欧阳宣
头像被屏蔽
发表于 2021-2-20 11:58:00 | 显示全部楼层
温馨小屋 发表于 2021-2-20 09:59
你在回去仔细看一看上一贴好不好,扫描杀掉的那几个确实不知道主防杀不杀,也可能和BD一样出现主防漏上古 ...

B-A只是纯主防杀的前提是B和A没有交集……你果然没学过集合

不会吧 为了否定除了主防以外的其他检测 你直接耍无赖说你眼里只有主防检测的样本 自己测出来的测试结果都要忽略吗?

HEUR能杀的样本一定能过主防 HEUR和主防的能力就一点也没有重复 这一点你能不能确认?能不能?回答我
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-20 14:36:31 | 显示全部楼层
欧阳宣 发表于 2021-2-20 11:58
B-A只是纯主防杀的前提是B和A没有交集……你果然没学过集合

不会吧 为了否定除了主防以外的其他检测  ...
B-A只是纯主防杀的前提是B和A没有交集……你果然没学过集合
在固定样本空间里,如果事件A是扫描杀,事件B是主防杀的话,事件AB就是主防和扫描都会杀的情况,P(B-A)=P(B)-P(AB),有没有交集这个式子都是成立的,或者用事件的差的定义解释也可以。不知道你们家的集合论是怎么学的。

因为我们现在并不知道P(AB)是多少,因为扫描杀了就不能再测主防了,但是我们知道事件AB一定是属于A的,所以从事件B里去掉所有也属于事件A的样本点,剩下的样本点就只属于事件B。


HEUR能杀的样本一定能过主防 HEUR和主防的能力就一点也没有重复 这一点你能不能确认?能不能?回答我
好了,确认了你的眼睛确实不太好用。

这个问题我在上一贴和上上贴都提过了,那我就再重新说一遍,HEUR杀的病毒能不能过主防不清楚,因为无法测试,所以在本次测视里他俩能力有没有重复是不清楚的。我个人认为被启发的样本应该大多主防都能杀,被启发掉不是老病毒那就是有比较典型的模式的毒,不过不排除像BD那样老样本还能过ATD,所以这部分无法得出结论,只能排除掉。
不会吧 为了否定除了主防以外的其他检测 你直接耍无赖说你眼里只有主防检测的样本 自己测出来的测试结果都要忽略吗?
你看看本帖标题是啥,这是谁耍无赖啊。无法得出结论的部分否定掉有问题吗,你这句话逻辑漏洞百出啊。



欧阳宣
头像被屏蔽
发表于 2021-2-20 16:22:36 | 显示全部楼层
温馨小屋 发表于 2021-2-20 14:36
在固定样本空间里,如果事件A是扫描杀,事件B是主防杀的话,事件AB就是主防和扫描都会杀的情况,P(B-A)=P ...

因为我们现在并不知道P(AB)是多少,因为扫描杀了就不能再测主防了,但是我们知道事件AB一定是属于A的,所以从事件B里去掉所有也属于事件A的样本点,剩下的样本点就只属于事件B。

很有道理,你知道事件B里也属于事件A的样本点有多少么?你自己说了,不知道。因此,蓝字部分和你测试没有关系,你也不能拿来当成什么佐证,拿你的话说,就是在说车轱辘话。

下面是不是要搞清楚P(AB)是多少?所以是不是要把启发和主防检测完全分离?能不能做到?那位前版主说可以。你这个测试里做到了么?没有。

如果你有办法分离掉启发库,就是保证绝无HEUR的可能了,按你说的A为扫描杀的话,就是通过保证P(A)=0来确保P(AB)=0了,这才是一个主防测试。但是这是不是就和现实中“遇到全新病毒的情形”离得更远了?只有主防的卡巴环境上哪去找?即便在上面另个人提到的学校实验室环境,就算真有人觉得离线装上个卡巴从不更新也能拿来说事,没问题,胆子大就可以装,那启发库和主防是不是至少同时装在了电脑上?这样的情况一旦出现,是不是P(AB)就无法确保为0了?

目前可以确认的是你的测试环境里,和日常使用环境里,主防和启发无法完全分开。

再看看你的思路:你想通过断网锁库的方式,模拟极端条件下杀软又没有云拉黑又没有入库的情况,你认定这个情况下只有主防有作用,并认为这个只有主防的情况是一个“遇到全新病毒的情形”,于是把自己的这个测试叫主防测试。

你疯狂抱怨我第一拿着实际场景说事,第二拿着测试结果里的启发检测说事,那正是因为你实验的目的和手段分别就是和这两点有冲突。

目的上,你认为面对未知病毒只有主防有作用,因此希望单独剥离主防,虽然没有完全成功,但是你口中的理想情况是只有主防。不过你口中的“遇见最新病毒的情形”也不是只有主防在单干,这是你自己测试的结果证明了的。“遇见最新病毒的情形”这九个字不是你的测试能够模拟的,你其实是在主动背离它,因此你也不能拿这九个字来为自己的测试寻找什么合理性和普适性。

手段上,你断网锁库,但是因为启发和主防没有办法剥离,你的主防测试里居然出现了特征检测和启发检测的例子。我教你个瞒过去的方法:下次精心挑选一下样本,只留出主防检测的样本,制造一个P(A)=0的假象,那就谁也看不出来了

所以我感觉你自己给自己制造了一个……困境。一头是所谓的“只有主防”,一头是“遇见最新病毒的情形”,只可惜在卡巴这个例子里,这两头是矛盾的,但你又两头都想要。
真是令人摸不到
发表于 2021-2-20 16:30:50 | 显示全部楼层
建议测测Avast主防
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-20 16:55:33 | 显示全部楼层
本帖最后由 温馨小屋 于 2021-2-20 17:30 编辑
欧阳宣 发表于 2021-2-20 16:22
因为我们现在并不知道P(AB)是多少,因为扫描杀了就不能再测主防了,但是我们知道事件AB一定是属于A的,所 ...
因此,蓝字部分和你测试没有关系,你也不能拿来当成什么佐证,拿你的话说,就是在说车轱辘话。

你一定要一厢情愿没有关系,我也没办法。AB部分目前是无法知晓的,拿来也得不出结论。
下面是不是要搞清楚P(AB)是多少?所以是不是要把启发和主防检测完全分离?能不能做到?那位前版主说可以。你这个测试里做到了么?没有。

不是,为什么要搞清楚AB?那就成真实世界测试了,不是主防测试了,请不要偏题。就算能通过加壳等奇怪手段过掉启发,成本太高,而且有一定概率损坏样本。
但是这是不是就和现实中“遇到全新病毒的情形”离得更远了?只有主防的卡巴环境上哪去找?

又开始强行带入实际了,首先不符合实际不等于没有意义,这点你似乎一直也理解不了。因为面对新病毒时启发并不是主力军,存在碰运气因素,去掉也是为了简化实验。比如PS勒索类病毒,启发杀了一个样本,下一个能不能杀那就不一定了,但是SW杀了一个PS样本,下一个大概率也能杀,所以近1个月来样本区众多ps勒索卡巴没一个漏的,能启发掉的是绝对的少数。面对新病毒,八九成概率还是要到主防这一层的,连续强调启发的重要性就是舍本逐末,买椟还珠。
目的上,你认为面对未知病毒只有主防有作用,因此希望单独剥离主防,虽然没有完全成功,但是你口中的理想情况是只有主防。不过你口中的“遇见最新病毒的情形”也不是只有主防在单干,这是你自己测试的结果证明了的。“遇见最新病毒的情形”这九个字不是你的测试能够模拟的,你其实是在主动背离它,因此你也不能拿这九个字来为自己的测试寻找什么合理性和普适性。

我并没有认为只有主防有作用,别自己加戏,主防的作用是占大多数的,HEUR启发简单的加个强壳就过了,而且以卡巴的市场占有量,被针对是常事,所以只测主防,这是大致符合“遇见最新病毒的情形”现实的,你非要舍本逐末找细节的话我也没有办法。
手段上,你断网锁库,但是因为启发和主防没有办法剥离,你的主防测试里居然出现了特征检测和启发检测的例子。我教你个瞒过去的方法:下次精心挑选一下样本,只留出主防检测的样本,制造一个P(A)=0的假象,那就谁也看不出来了

你又开始自己加戏了,测卡巴主防时出现入库或者启发应该是可以预见的事,P(A)!=0并不影响测试主防,前面说过了如何去除库的影响,你在这又来没办法剥离,现在这个对线已经成功的陷入怪圈了,我前面发的东西你都视而不见继续按原观点输出,还说不出个道理来,逻辑都不通顺了。再这样下去就没意义了。
一头是所谓的“只有主防”,一头是“遇见最新病毒的情形”,只可惜在卡巴这个例子里,这两头是矛盾的,但你又两头都想要。

“遇见最新病毒的情形”大概率是靠主防来防的,所以“只有主防”的情形是可以反映现实的,你非要抓住启发这个细枝末节然后把他们看成矛盾的,我真的是没有办法,叫不醒装睡的人。


举个例子:
研究运动模型怎么出现绝对光滑的平面啊,众所周知摩擦力是不可能被消除的,所以你这个研究是脱离实际的,是没有意义的,一头是所谓的“光滑平面”,一头是“现实中的运动的应用”,这可惜在这个研究里,两头是矛盾的,可两头又都想要。

目前可以确认的是你的测试环境里,和日常使用环境里,施加外力和摩擦力的影响无法完全分开。

再看看你的思路:你想通过使用摩擦系数很小的平面和小车的方式,模拟极端条件下物体在平面上的运动的情况,你认定这个情况下只有施加外力有作用,并认为这个只有施加外力的情况是一个“实际平面上物体的运动情况”,于是把自己的这个测试叫平面小车实验。

你疯狂抱怨我第一拿着实际场景说事,第二拿着测试结果里的摩擦力影响说事,那正是因为你实验的目的和手段分别就是和这两点有冲突。

目的上,你认为物体运动只有施加外力有作用,因此希望单独剥离施加外力,虽然没有完全成功,但是你口中的理想情况是只有施加外力。不过你口中的“实际平面上物体的运动情况”也不是只有施加外力在单干,这是你自己测试的结果证明了的。“实际平面上物体的运动情况”这几个字不是你的测试能够模拟的,你其实是在主动背离它,因此你也不能拿这几个字来为自己的测试寻找什么合理性和普适性。

手段上,你用摩擦系数很小的平面,但是因为摩擦力作用和施加外力作用没有办法剥离,你的施加外力测试里居然出现了施加外力以外的摩擦力的影响。我教你个瞒过去的方法:下次精心挑选一下数据,只留出施加外力的数据,制造一个摩擦力=0的假象,那就谁也看不出来了.

万能套话,可以套入所有理想实验,高阶杠精,在下佩服
Shake2333
发表于 2021-2-20 22:36:31 | 显示全部楼层
好家伙,我测eset的没人看,这里竟然热火朝天,我酸了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 21:31 , Processed in 0.099368 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表