卡巴斯基主防测试(断网锁库)

欧阳宣

温馨小屋 发表于 2021-2-20 16:55
你一定要一厢情愿没有关系，我也没办法。AB部分目前是无法知晓的，拿来也得不出结论。

不是，为什么 ...

我也懒得反复重复了 我这里复制你说过的几句话。

1.为什么要搞清楚AB？那就成真实世界测试了，不是主防测试了
2.不符合实际不等于没有意义
3.我并没有认为只有主防有作用
4.测卡巴主防时出现入库或者启发应该是可以预见的事
5.启发杀了一个样本，下一个能不能杀那就不一定了，但是SW杀了一个PS样本，下一个大概率也能杀

把1和3连起来看，你一面坚称你的是主防测试，一面又说主防测试里可以出现非主防结果，这当然是矛盾的，根据就是你自己提的控制变量法。影响实验结果的因素应该被去除，这里应该去除的就是启发和特征库，这也是为什么要弄清P(AB)的原因，不弄清P(AB)就无法说是单测主防，毕竟你自己坚称你自己在做主防测试。
而且扫描杀在你的测试里占三分之一啊 你凭什么忽略？一个扫描杀结果占三分之一的测试居然你说成了主防测试，搞笑。

把2和4列出来只是想突出一下 我真的很惊讶你是怎么把这两句话说出口的

你举的讲摩擦力这个例子，卷子上，老师讲课，都会加一个条件：“在理想状况下”。但你这个测试能叫“理想实验”？它既不是你最希望接近的理想情况（只测主防）也不是我最希望接近的实际情况（模拟遇到全新病毒的情形），讲真我不知道测来干什么。

你说进入了怪圈，我是觉得内容上很简单：我咬住启发无法剥离，测试远离实际，样本偏向性强这些点，你又想嘴硬，但是实际情况又无法回避，因此开始把显然是矛盾的东西硬要说在一起，比如坚称主防测试里出现扫描的检测居然是正常的……然后开始甩脸子说“我也没有办法”，像是微博段子里钢铁直男吵架的标准套路。拿你自己的话说，“证据给他摆完他就直说不想看，我都惊了”。我现在就是这样的感觉。你现在也直接说“你一定要一厢情愿没有关系，我也没办法”嘛，意思就是“我没法否认你说的，但是我就是要犟着不承认我错”。

说到对线，你跟我这个连对线都不算，卡巴版主是因为摆出了事实，补充了我不了解的区域，那个才叫对线，因为在反驳的时候抬出了实际论据。你这“我也没办法”“不符合实际不等于没有意义”还有你这个扫描结果占总结果三分之一的“主防测试”叫什么论据？嗯？

我觉得你说的这个怪圈会无休止的进行下去的，因为从我的角度我争取到了一些你无法回避的事实，从你的角度你又决定要嘴硬，我们俩各自的决心都挺大的，那就这么继续下去吧

henry217

温馨小屋 发表于 2021-2-20 23:08
其实我想开小号互水，伪装一下IP不会被发现吧

好家伙  一个不小心被查出来

温馨小屋

欧阳宣 发表于 2021-2-21 04:58
我也懒得反复重复了 我这里复制你说过的几句话。

1.为什么要搞清楚AB？那就成真实世界测试了，不是主 ...

把1和3连起来看，你一面坚称你的是主防测试，一面又说主防测试里可以出现非主防结果，这当然是矛盾的，根据就是你自己提的控制变量法。影响实验结果的因素应该被去除，这里应该去除的就是启发和特征库，这也是为什么要弄清P(AB)的原因，不弄清P(AB)就无法说是单测主防，毕竟你自己坚称你自己在做主防测试。

断章取义，剔除非主防结果即得到主防结果，我没有帮你做这一步，看起来你自己不会做这一步。“不弄清P(AB)就无法说是单测主防”你自己单方面下定义，不做评论。

而且扫描杀在你的测试里占三分之一啊 你凭什么忽略？一个扫描杀结果占三分之一的测试居然你说成了主防测试，搞笑。

扫描多是因为低质量样本多，早就本地入库的样本无论测主防还是真实世界都是不适合的，我前面也说过，真正启发掉的未知病毒一共就俩，显然你选择性忽略这一部分事实，继续输出原观点。

你举的讲摩擦力这个例子，卷子上，老师讲课，都会加一个条件：“在理想状况下”。但你这个测试能叫“理想实验”？它既不是你最希望接近的理想情况（只测主防）也不是我最希望接近的实际情况（模拟遇到全新病毒的情形），讲真我不知道测来干什么。

这已经是最接近只测主防的状态了，因为库没法完全剔除掉，卡巴的主防测试本来就应该是个理想测试，这种模型现实中是不存在的。“在理想状况下”不加这句话你就理解不了理想实验了吗？

“但你这个测试能叫“理想实验”？”贴吧式下定义歪曲事实。

把2和4列出来只是想突出一下 我真的很惊讶你是怎么把这两句话说出口的

逻辑能力堪忧。无法解释。

你说进入了怪圈，我是觉得内容上很简单：我咬住启发无法剥离，测试远离实际，样本偏向性强这些点，你又想嘴硬，但是实际情况又无法回避，因此开始把显然是矛盾的东西硬要说在一起，比如坚称主防测试里出现扫描的检测居然是正常的……然后开始甩脸子说“我也没有办法”，像是微博段子里钢铁直男吵架的标准套路。拿你自己的话说，“证据给他摆完他就直说不想看，我都惊了”

你咬住的东西就是不合理的，自以为这些是矛盾的，而且不接受避开这些矛盾的方法，一意孤行，不停地断章取义转移话题，前面说过无数遍的东西继续装听不见。其实你前面的那句话是关键，这里这句话又可以套入所有理想实验了，显然是杠精操作。

另外，样本不好这个我是承认了的，在前面这不是你一直选择性忽略的部分吗，现在又说出来了？

说到对线，你跟我这个连对线都不算，卡巴版主是因为摆出了事实，补充了我不了解的区域，那个才叫对线，因为在反驳的时候抬出了实际论据。你这“我也没办法”“不符合实际不等于没有意义”还有你这个扫描结果占总结果三分之一的“主防测试”叫什么论据？嗯？

确实，我打了那么多字你还是这句话，你已经和“证据给他摆完他就直说不想看“的那个人完全一样了，我说完你当没听见我有什么办法，我只能说我也没办法。

我觉得你说的这个怪圈会无休止的进行下去的，因为从我的角度我争取到了一些你无法回避的事实，从你的角度你又决定要嘴硬，我们俩各自的决心都挺大的，那就这么继续下去吧

单方面yy，不评论。


再举个例子：

把1和3连起来看，你一面坚称你的是施加外力影响的测试，一面又说施加外力影响的测试里可以出现非施加外力影响的结果，这当然是矛盾的，根据就是你自己提的控制变量法。影响实验结果的因素应该被去除，这里应该去除的就是摩擦力的影响，这也是为什么要弄清P(AB)的原因，不弄清P(AB)就无法说是单测施加外力影响，毕竟你自己坚称你自己在做施加外力影响测试。
而且摩擦力在你的测试里占三分之一啊 你凭什么忽略？一个摩擦力占合力三分之一的测试居然你说成了施加外力影响的测试，搞笑。（这里的三分之一其实是歪曲，应该改成2/21）

卷子上，老师讲课，都会加一个条件：“在理想状况下”。但你这个测试能叫“理想实验”？它既不是你最希望接近的理想情况（只测施加外力）也不是我最希望接近的实际情况（模拟现实中的平面运动），讲真我不知道测来干什么。

你说进入了怪圈，我是觉得内容上很简单：我咬住摩擦力无法剥离，测试远离实际，样本偏向性强这些点，你又想嘴硬，但是实际情况又无法回避，因此开始把显然是矛盾的东西硬要说在一起，比如坚称施加外力影响的测试里出现摩擦力的影响居然是正常的……



你这全都是万能套话，直接否定本测试是理想实验就可以一直套下去。实际实验中摩擦力无法剥离，只能想办法减少其影响，而理想模型能简单清晰地研究想要研究的重点，理想化必定会远离实际，但能大幅减少研究成本。你这结论就是两头堵，直接否定理想实验。

你不会到现在还没意识到你在制造万能套话吧。

温馨小屋

henry217 发表于 2021-2-21 07:03
好家伙  一个不小心被查出来

主要是我的另一个小号注册IP还是我这里的，登录IP变了可能还是可以查出来

Shake2333

InnoriaAlter 发表于 2021-2-20 22:58
大部分是水楼聊天...

然后也发过帖子（无人问津＋黑历史）、样本区测毒（现在闲了）、专版 ...

我这就去水

欧阳宣

温馨小屋 发表于 2021-2-21 10:13
断章取义，剔除非主防结果即得到主防结果，我没有帮你做这一步，看起来你自己不会做这一步。“不弄清P( ...

?

剔除非主防结果即得到主防结果，我没有帮你做这一步，看起来你自己不会做这一步

还想我再教一遍？非主防结果里有没有本来主防能防，但是被启发和特征提前拦截了的？你能确保没有？
上面这个问题你发现无法回避，于是开始主观选择忽略（“真正启发掉的未知病毒一共就俩”，在你眼中好像就成了0个了）。这东西忽略不过去的，弟弟。

“不弄清P(AB)就无法说是单测主防”你自己单方面下定义，不做评论。

搞清楚P(AB)是多少你做得到？做不到。测试环境能不能保证只有主防检测？你不能。我以为这是共识了，你又翻供。我后面说的都是基于你已经承认的这一点，让你承认P(AB)无法确保为0就花了3天时间，所以别怪我，好不容易逼你认的东西我需要反复强调的。

这已经是最接近只测主防的状态了，因为库没法完全剔除掉，卡巴的主防测试本来就应该是个理想测试，这种模型现实中是不存在的。“在理想状况下”不加这句话你就理解不了理想实验了吗？

确实，无论怎么做你都无法做到只测主防。所以这个测试不能叫主防测试。这有什么好洗的？主防测试是理想测试，对的，但是因为你的测试里剔除不掉库，你的测试就不是一个理想测试，所以也不是一个主防测试。我觉得这个真的再显然不过了。

我真的是要佩服你的脸皮怎么就这么厚。你自己的半吊子测试环境已经妨害了实验目的了。启发掉的两个，还有一个甚至就直接入库特征能杀。21个样本里扫描杀占7个我引用的是你自己1楼的结论，你要怎么忽略？




你有没有发现自己已经频繁开始自己单方面宣布胜利了，经常说这种没有论据的“单方面下定义，不做评论”“无法解释”“单方面yy，不评论”“咬住的东西就是不合理的”这类淡话？就差直接扣帽子，指着我鼻子骂了。我觉得你也就这样吧，当然比那些对你表达热烈支持的负ML的号好很多了，只不过可能因为我没给你台阶下所以你要不停给我扣帽子，不停中伤我。但你越是这样想要激怒我，其实越显得自己无话可说。我是一直可以说下去的，只是不知道你后面除了拐弯抹角骂我还能干嘛。

温馨小屋

欧阳宣 发表于 2021-2-21 12:45
?

还想我再教一遍？非主防结果里有没有本来主防能防，但是被启发和特征提前拦截了的？你能确保没有？
...

还想我再教一遍？非主防结果里有没有本来主防能防，但是被启发和特征提前拦截了的？你能确保没有？

可能有啊，我已经回答三遍了，看起来你还是没听懂。

上面这个问题你发现无法回避，于是开始主观选择忽略（“真正启发掉的未知病毒一共就俩”，在你眼中好像就成了0个了）。这东西忽略不过去的，弟弟。

我从没回避这个问题，是你在主观忽略我之前发的帖。现在知道是俩了？我说过是0个吗，我只说因为启发占比小所以我把他去掉以便于了解卡巴主防能力以及与BD纯主防对比。0个是你自己yy出来的。

搞清楚P(AB)是多少你做得到？做不到。

能做到，把被启发的样本免杀处理再测主防即可，只是时间成本太高，过程复杂，所以此处选择抠掉启发杀的内容。我之前在样本区测试也这么操作过，可是有的病毒已经进行过加壳甚至加变种壳处理，再加其他壳比如vmp这类容易导致出错，免杀方法成本过高。和摩擦力一样，有单独测试摩擦力的实验，能测出来，但是大大增加了实验复杂度。

测试环境能不能保证只有主防检测？你不能。

不能保证，但是可以通过一些方法来获得纯主防数据。

我以为这是共识了，你又翻供。

这怎么能叫共识呢，这是计算机常识，如果你不知道的话只能说明你知识水平太差，或者理解能力太差，看不懂我说的话，从头到尾我都是这个观点，你梦里翻供呢吧。

后面说的都是基于你已经承认的这一点，让你承认P(AB)无法确保为0就花了3天时间，所以别怪我，好不容易逼你认的东西我需要反复强调的。

我从来没说过P(AB)为0，全是你自己yy出来的啊，不信你去翻帖子，自己磨了这么多天别赖我啊。把这种简单的事实一直重复不知道你想干啥。P(AB)是不是0都不影响正在讨论的问题。

确实，无论怎么做你都无法做到只测主防。所以这个测试不能叫主防测试。这有什么好洗的？主防测试是理想测试，对的，但是因为你的测试里剔除不掉库，你的测试就不是一个理想测试，所以也不是一个主防测试。我觉得这个真的再显然不过了。

确实，无论怎么做你都无法做到只测施加外力。所以这个测试不能叫研究施加外力的作用的测试。这有什么好洗的？研究施加外力的作用的测试是理想测试，对的，但是因为你的测试里剔除不掉摩擦力，你的测试就不是一个理想测试，所以也不是一个研究施加外力的作用的测试。我觉得这个真的再显然不过了。

又来万能套话了，剔除不了别的因素就不能做理想实验研究了吗，摩擦力剔除不了不照样可以研究？只要保证比例比较小，或者采用一些方法来抵消我们不想要的部分，就可以专注研究剩下的部分了。比如斜面上滑动摩擦力和重力分离相等的时候，就可以近似理想的研究施加外力的作用了，都是一样的道理。

我真的是要佩服你的脸皮怎么就这么厚。你自己的半吊子测试环境已经妨害了实验目的了。启发掉的两个，还有一个甚至就直接入库特征能杀。21个样本里扫描杀占7个我引用的是你自己1楼的结论，你要怎么忽略？

人身攻击不评论，而且你是不是气的连数字都数不好了，样本一共是26个，其中上古样本（首次出现早于库时间）5个，剔除5个之后是21个，这21个里还有一个被启发的文件不知道是啥时候出的，这怎么小学数学都不会了呢。删除无效样本我还有错了吗？21个启发两个，这影响实验目的吗，2/21的启发率可是绝对的少数。

帮你回顾一下
一共启发3个，入库（非启发）杀4个，启发的里面还有一个2018年的老毒，显然是合并定义了。

你有没有发现自己已经频繁开始自己单方面宣布胜利了，经常说这种没有论据的“单方面下定义，不做评论”“无法解释”“单方面yy，不评论”“咬住的东西就是不合理的”这类淡话？就差直接扣帽子，指着我鼻子骂了。

你不早就这样了，荒谬的论据一连自信的发了四五遍，你单方面无视我的回帖继续重复原观点，这是啥操作？跟贴吧喷子已经区别不大了，你还好意思说我扣帽子？你都已经快沉浸在自己的梦里无法自拔了，从一开始就是找茬，这个目的一直贯穿始终。无视自己的问题，说话都已经不怎么走逻辑了。

我觉得你也就这样吧，当然比那些对你表达热烈支持的负ML的号好很多了，只不过可能因为我没给你台阶下所以你要不停给我扣帽子，不停中伤我。但你越是这样想要激怒我，其实越显得自己无话可说。我是一直可以说下去的，只是不知道你后面除了拐弯抹角骂我还能干嘛。

开始精神胜利法了吗，你是自己找不到台阶下了吧，不刚到底那你多丢人啊，以后怎么在坛里说话带刺啊，我理解。

我本来就无话可说了，该讲的东西都讲过很多遍了，可是你还是装看不见，继续复读机，反驳也是苍白无力，每次的回复要点都是复读之前的内容，然后还指责我翻供，真是中国驰名双标。


你拐弯抹角骂我的还少吗，说实话我也不知道你后面除了不断复读逃避现实还能干什么别的。

欧阳宣

温馨小屋 发表于 2021-2-21 13:57
可能有啊，我已经回答三遍了，看起来你还是没听懂。
我从没回避这个问题，是你在主观忽略我之前发的帖。 ...

P(AB)是不是0都不影响正在讨论的问题

纯主防检测的部分是P(B)-P(AB), 为什么P(AB)不重要？“2/21的启发率可是绝对的少数”这个是你主观想要忽略启发影响的一个体现，你想表达的意思是因为这堆样本里启发占比很少，所以忽略它们没问题。凭什么？你能用这些样本呢的例子来覆盖大体平均情况吗？用你自己说的质量不好的样本？不能。我再复制一下你主楼最后的数字：

主防杀：16
扫描杀：7
漏：2
无法运行：1

所以按你给的数据25个样本里非主防杀的有7个。那想要忽略非主防检测可能就更难了。

摩擦力剔除不了不照样可以研究？只要保证比例比较小，或者采用一些方法来抵消我们不想要的部分，就可以专注研究剩下的部分了。比如斜面上滑动摩擦力和重力分离相等的时候，就可以近似理想的研究施加外力的作用了

能做到，把被启发的样本免杀处理再测主防即可，只是时间成本太高，过程复杂，所以此处选择抠掉启发杀的内容。

只能说BD那个楼的楼主选的样本质量不佳，要是我选的话绝对不会找这种样本

断网不是目的，断网查杀率也不是目的。目的是要模拟遇见最新病毒的情形。

那就是这个主防测试你承认了能做得彻底，但是就是不做彻底，这个主防测试你来找样本会找哪些，但是你就是懒得搞，就直接抄作业了。也就是你懒得去做得严谨，于是就做了一个不严谨的测试。对于此，我不得不说我非常同意。

而且假设你就算做彻底了 一个只有纯主防的的环境也并不是你拿来撑腰的“模拟遇见最新病毒的情形”，因为启发和主防无法剥离，所以只有主防的环境现实中不存在。

说句实话，我对你的回帖不仅没有无视，很多我的论据也是我原本不知道然后你告诉我的。比如这个测试本来能够做成什么样而你因为懒没有做到；还有你明知UDS拉黑也需要一天多才能本地入库，所以直接断网在这个测试里其实就足够了，但你又被老毒逼得只能锁库等等。

你可能觉得我在找茬，但是我的很多话都是你递给我的。P(AB)的不确定性你是告诉我的，启发和主防无法完全剥离是你的测试结果告诉我的，这是我的两个关键论据。我最开始还挺天真觉得你真的把主防剥离出来了，所以我才说测试条件脱离现实，后来你告诉我之后发现这都不是一个主防测试……那你在……干嘛呢……

温馨小屋

欧阳宣 发表于 2021-2-21 16:40
纯主防检测的部分是P(B)-P(AB), 为什么P(AB)不重要？“2/21的启发率可是绝对的少数”这个是你主观想要 ...

纯主防检测的部分是P(B)-P(AB), 为什么P(AB)不重要？

看起来你可能没学过集合论，算P(B-A)不只有这一种方法，首先扫描杀和主防杀是相互独立的，所以P(AB)=P(A)P(B)，现在我们知道A，也知道B-A，所以就可以解出B。

就算你没学过集合论，我前面也详细的通过非数学语言解释过这个问题，所以你下边说没有无视我回帖纯属是个笑话，不多评论了。

所以按你给的数据25个样本里非主防杀的有7个。那想要忽略非主防检测可能就更难了。

又来了，剔除无效样本这个始终也是理解不了，开始复读。

那就是这个主防测试你承认了能做得彻底，但是就是不做彻底，这个主防测试你来找样本会找哪些，但是你就是懒得搞，就直接抄作业了。也就是你懒得去做得严谨，于是就做了一个不严谨的测试。对于此，我不得不说我非常同意。

我也同意，我做不到AV-C的水平，也没那么多时间去做，20个样本本来就太少了，如果样本个别有问题的话就会导致数据大幅波动，做六七十个样本更合理一点。这也就是你来找茬的原因，如果样本多起来，时间跨度不要那么大，你这点笑话言论就不攻自破了。

而且假设你就算做彻底了 一个只有纯主防的的环境也并不是你拿来撑腰的“模拟遇见最新病毒的情形”，因为启发和主防无法剥离，所以只有主防的环境现实中不存在。

而且假设你就算做彻底了 一个只有纯施加外力的环境也并不是你拿来撑腰的“模拟现实中施加外力的情形”，因为摩擦力和施加外力无法剥离，所以只有施加外力的环境现实中不存在。


这种笑话理由就不要再拿来复读了，不知不觉出了新的万能模板。

你明知UDS拉黑也需要一天多才能本地入库

记得加前提，是小众文件，流行病毒都是光速入库。我之前也提到过，断章取义就不好了。

你可能觉得我在找茬，但是我的很多话都是你递给我的。

可是你把我的话歪曲事实断章取义之后再拿出来杠，这就没意思了。对你有利的拿出来杠，不利的直接无视，这还对个啥线。

P(AB)的不确定性你是告诉我的，启发和主防无法完全剥离是你的测试结果告诉我的，这是我的两个关键论据。我最开始还挺天真觉得你真的把主防剥离出来了，所以我才说测试条件脱离现实，后来你告诉我之后发现这都不是一个主防测试……那你在……干嘛呢……

就是选择性不理解我是怎么剥离启发的数据影响的，然后一直强调在组件上启发与主防不可分离，这不就是顾左右而言他吗。然后最后在错误的逻辑上发现错误的结果，还顺便否定了理想实验制造了一堆万能套话。

欧阳宣

温馨小屋 发表于 2021-2-21 17:06
看起来你可能没学过集合论，算P(B-A)不只有这一种方法，首先扫描杀和主防杀是相互独立的，所以P(AB)=P(A) ...

而且假设你就算做彻底了 一个只有纯施加外力的环境也并不是你拿来撑腰的“模拟现实中施加外力的情形”，因为摩擦力和施加外力无法剥离，所以只有施加外力的环境现实中不存在。

你很聪明地用物理学这样一个易于理论推演的设定来为测样本这样一个只能实操的情况打比方，不得不说用心良苦。

你觉得启发杀和主防杀就像推滑块的力和摩擦力一样，虽然总是会同时出现，但是分别能各自量化，然后就能剥离分开来讲。很有道理。但是启发检测+特征检测和主防检测是要互相覆盖的，并不是相互独立的，它俩不是像外力和摩擦力一样容易剥离的开来讲的。而且摩擦力其实是很复杂的，不是一个动摩擦系数能说清。外力不够大的时候静摩擦力就已经存在，大小和外力相同，等到滑块开始往前走了才是滑动摩擦力等于μmg那一套的……

说回正题，你主楼有7个扫描杀的例子。考虑到主防是行为检测，特征+启发不是，那再怎么样本也是先过了启发+特征才会遇到主防吧。在什么样的情况下这7个样本会是一个”主防miss了但是启发+特征检测了，但是启发又没有覆盖主防“的情况呢？唯一的可能就是启发+特征检测的防御点比主防还靠后，样本先遇到主防，过掉主防了再被启发拦截。。你觉得可能吗。。所以启发在前主防在后这是一个铁定的事实，而那7个样本没见到主防就已经被拦截了。谁叫你要测的主防是最后一层呢。那七个样本很可能存在主防能拦截的，但是你看不到了。


这就是我为什么要坚持确保P(AB)为0，还有坚持要把启发+特征和主防分开的根本原因。

当我说你的测试条件不严谨时，你说是因为条件局限（怪样本+自己懒），强调这个测试是个实际测试，不要强求太多；当我说这个测试没有切合实际场景时，你又说这个测试就是为了只测主防，强调这个测试的理论性。两头的话你都说了，但是很可惜你这个实验两头都不沾。它既不是一个完全理想情况下的主防测试，也不是一个完全贴近断网后遇见全新文件情形的实机测试。测试不是那么好做的，很累的，大哥。

你要么，确保HEUR和特征杀几率为0，要么就不要锁库，老老实实在更新完一次卡巴之后再断网测。这样你才能搞一个有说服力的测试。也不知道你对你测试的说服力到底有没有在意过，我看着好像你也不care……