卡巴斯基主防测试(断网锁库)

温馨小屋

欧阳宣 发表于 2021-2-22 07:47
你很聪明地用物理学这样一个易于理论推演的设定来为测样本这样一个只能实操的情况打比方，不得不说用心 ...

但是启发检测+特征检测和主防检测是要互相覆盖的，并不是相互独立的，它俩不是像外力和摩擦力一样容易剥离的开来讲的。

他俩的检测范围是否覆盖显然与这两个事件是否独立无关，免杀过启发之后主防拦不拦是不一定的，还得看样本行为，启发不能杀也不会给主防带来负面影响。外力和摩擦力在现实中无法剥离，但是可以通过设计实验剥离，怎么一到杀软这里就理解不了了？

而且摩擦力其实是很复杂的，不是一个动摩擦系数能说清。外力不够大的时候静摩擦力就已经存在，大小和外力相同，等到滑块开始往前走了才是滑动摩擦力等于μmg那一套的

我记得我没提动摩擦系数吧，别自己加戏，动摩擦+静摩擦就复杂了？你还知道复杂呢？同样的事情到杀软这里怎么就不复杂了非要要求剥离启发？

在什么样的情况下这7个样本会是一个”主防miss了但是启发+特征检测了，但是启发又没有覆盖主防“的情况呢？唯一的可能就是启发+特征检测的防御点比主防还靠后，样本先遇到主防，过掉主防了再被启发拦截。

谁说没有覆盖了，覆盖是一定的，你这句话都逻辑不通顺。看起来你可能并不清楚事件相互独立是什么意思，两个事件相互独立的话其实是有覆盖部分的。建议你去翻翻大二概率论与数理统计的课本。

这就是我为什么要坚持确保P(AB)为0，还有坚持要把启发+特征和主防分开的根本原因。

总结了一下自己闹的笑话？显然前三个帖子的内容你都没看。不过还好，起码这个帖子抛出了一些新的东西。

当我说你的测试条件不严谨时，你说是因为条件局限（怪样本+自己懒），强调这个测试是个实际测试，不要强求太多；当我说这个测试没有切合实际场景时，你又说这个测试就是为了只测主防，强调这个测试的理论性。两头的话你都说了，但是很可惜你这个实验两头都不沾。它既不是一个完全理想情况下的主防测试，也不是一个完全贴近断网后遇见全新文件情形的实机测试。

真是，两头都断章取义一下，就出了这句话。测试条件确实没有AV-C那么严谨，不过我也没强调过这是实际测试，我只是说此测试可以部分反映实际，你这就是自己编条件圆自己的话了。

帮你回忆一下


另一头的话，我确实是想只测主防，启发入库干扰太大，而PDM行为特征一般比较稳定，不会频繁更新，这只是个理论测试，我只想了解卡巴对付未知病毒的主力到底是个什么状态，最起码可以明显的了解到2021的SW是比2020的有确实加强的。

最后这句话你就是走两个极端了，欲加之罪何患无辞。

测试不是那么好做的，很累的，大哥。

您自己不想做就别在别人的测试下面吹毛求疵，你还知道很累呢？我想理想化去掉启发你就来这么多问题，要想找问题AV-C的测试我也能找出问题来，问题是有意思吗？挑刺就这么有优越感？还是想间接炫耀自己以往的评测贴一贴写了多长多长时间？

你要么，确保HEUR和特征杀几率为0，要么就不要锁库，老老实实在更新完一次卡巴之后再断网测。这样你才能搞一个有说服力的测试。也不知道你对你测试的说服力到底有没有在意过，我看着好像你也不care……

自定义说服力，唉，死也不肯相信启发可以通过某些方式剥离影响。起码现在认同断网了，不跟我扯KSN了，也算是有进步吧。

欧阳宣

两个事件相互独立的话其实是有覆盖部分的。

启发+特征检测之后主防还能不能检测你就不知道了，你意识不到么？这两层有先后顺序的。

这里的覆盖是“样本被启发检测”和“样本被主防检测”的覆盖部分，也就是前面争过的P(AB)，你混淆为了“样本被启发检测”和“样本仅被主防检测”的比较之后，当然显得没有覆盖，可以直接B-A了。你的测试只能体现红色部分，但是真实情况应该是蓝色部分，你不停在把红色部分说成和蓝色部分等同。
你如果负责任的话， 测试里就标明一句自己只能测红字，尽管没有测出蓝字，但是能够反映蓝字的部分情况。然后不要总说自己要测蓝字，因为你测不出来。

其实你心知肚明，因为你自己都说“启发入库干扰太大”，你又不停强调过掉启发远比过掉主防容易，说实际情况下能被启发挡下来的未知样本肯定没有这个测试里这么多，意指红字和蓝字差别并不大。如果你愿意承认蓝字和红字有差别 而且自己只能测红字的话那咱就达成共识。

一个说好是测主防的测试里搭建一个只有主防的环境，在我看来是实验之所以存在的必要条件了，你却说成是“走极端”，好像主防测试里做不到只测主防都成了一个欲加之罪……你可能气上头了。你还提AV-C呢……AV-C肯定不会把库锁到测试时间的一年前，不会只有25个样本，对吧。


所以我只是把这些稍微想想就能想到的东西指出来而已，就跟那位测BD的兄弟搞到了企业版居然连hyperdetect都不开一样，我觉得这些是明摆着的疏漏。前面有关特征库帮着主防的事，还有用断网躲KSN我也认可了，有人纠正我就会道歉。所以争论归争论，不必意气用事死咬什么东西，对吧，希望你也是

温馨小屋

欧阳宣 发表于 2021-2-22 14:01
启发+特征检测之后主防还能不能检测你就不知道了，你意识不到么？这两层有先后顺序的。

这里的覆盖是 ...

这里的覆盖是“样本被启发检测”和“样本被主防检测”的覆盖部分，也就是前面争过的P(AB)，你混淆为了“样本被启发检测”和“样本仅被主防检测”的比较之后，当然显得没有覆盖，可以直接B-A了。你的测试只能体现红色部分，但是真实情况应该是蓝色部分，你不停在把红色部分说成和蓝色部分等同。

这就是你自己逻辑的问题了。你这句话存在语病，逻辑十分混乱，实在是难以理解。

首先明确一下
样本能被扫描检测=A
样本能被主防检测=B
样本仅能被主防检测=B-A

目前的情况相当于21个有效样本里只有一个被启发杀的不能明确主防是不是能杀，你来抠这一个样本显然是舍本逐末，所以B-A和B样本数量之差只能是0或1，这对结果的影响大吗？

你如果负责任的话， 测试里就标明一句自己只能测红字，尽管没有测出蓝字，但是能够反映蓝字的部分情况。然后不要总说自己要测蓝字，因为你测不出来。

我数据都标出来了，标的很明白，我还要为个别理解能力极差得人掰开了揉碎了的加注解吗？我的标题是主防测试，这贴的内容不是主防测试吗，是你自己非要疯狂引申的。

继续万能模板：你如果负责任的话， 测试里就标明一句自己只能测物体在施加外力作用下的影响，尽管没有测出仅在施加外力作用下的影响，但是能够反映仅在施加外力作用下的部分情况。然后不要总说自己要测仅在施加外力作用下，因为你测不出来。

物理书上有这句话吗？这应该是常识问题，搞不清楚这件事的人缺乏生活常识。现在我倒是明白点了，你就是想方设法来说我这个测试文不对题，明明影响基本没有的绝对少数变量，就非得在测试里加上“尽管没有测出”字样。

其实你心知肚明，因为你自己都说“启发入库干扰太大”，你又不停强调过掉启发远比过掉主防容易，说实际情况下能被启发挡下来的未知样本肯定没有这个测试里这么多，意指红字和蓝字差别并不大。如果你愿意承认蓝字和红字有差别 而且自己只能测红字的话那咱就达成共识。

我本帖里就是测得红字，我也从来没说过蓝字和红字一样，这是你自己yy出来的。启发确实比主防更容易被针对过掉，比如那种加壳不杀不加壳了就杀的情况，卡巴脱壳能力越来越差这应该是有目共睹，以后扫描的主力应该就是UDS和VHO了。扫描抗混淆变差，在防御未知病毒上主防的重要性也越来越大。

一个说好是测主防的测试里搭建一个只有主防的环境，在我看来是实验之所以存在的必要条件了，你却说成是“走极端”，好像主防测试里做不到只测主防都成了一个欲加之罪

平面小车实验完全去除摩擦力了吗？你说出这第一句话显然高中物理没学好，按你这个理论我们可能需要修改课本。

你还提AV-C呢……AV-C肯定不会把库锁到测试时间的一年前，不会只有25个样本，对吧。

果然是选择性理解。厉害

所以我只是把这些稍微想想就能想到的东西指出来而已，就跟那位测BD的兄弟搞到了企业版居然连hyperdetect都不开一样，我觉得这些是明摆着的疏漏。前面有关特征库帮着主防的事，还有用断网躲KSN我也认可了，有人纠正我就会道歉。所以争论归争论，不必意气用事死咬什么东西，对吧，希望你也是

把自己包装的挺好啊，这不是死咬的问题，是有人发言不走逻辑的问题，这个很难解决，还有就是选择性失明，只要没有这两个令人头痛的情况，一切都能很和谐。

Picca

你们真的好闲啊
对我来说，这个测试确实反映出了卡巴主防不错，感谢楼主辛苦测试

欧阳宣

我一条条讲好了，免得你又夹杂辱骂在其中。上一楼我不得不举报了。

首先明确一下
样本能被扫描检测=A
样本能被主防检测=B
样本仅能被主防检测=B-A

目前的情况相当于21个有效样本里只有一个被启发杀的不能明确主防是不是能杀，你来抠这一个样本显然是舍本逐末，所以B-A和B样本数量之差只能是0或1，这对结果的影响大吗？

你是不是在假设扫描杀的主防都能杀？否则B无法包含A。那7个样本扫描杀了，主防能不能拦截你是不知道，你避不开还是要剥离启发。

对结果影响不大，但是这是这才二十几个样本的情况。这个更多体现的是实验条件的疏漏。当前这个测试条件有问题，那这个测试本身就不能有说服力。你不能用有限样本的结果反过来为实验本身辩护，这是显然的。

温馨小屋

欧阳宣 发表于 2021-2-23 00:37
我一条条讲好了，免得你又夹杂辱骂在其中。上一楼我不得不举报了。

你是不是在假设扫描杀的主防都能杀？否则B无法包含A。

没有。B不一定包含A。这是基本逻辑问题。

对结果影响不大，但是这是这才二十几个样本的情况。这个更多体现的是实验条件的疏漏。当前这个测试条件有问题，那这个测试本身就不能有说服力。你不能用有限样本的结果反过来为实验本身辩护，这是显然的。

小车的摩擦力对结果影响不大，但是这是小车重量很轻的情况。这个更多体现的是实验条件的疏漏。当前这个测试条件有问题，那这个测试本身就不能有说服力。你不能用有限样本的结果反过来为实验本身辩护，这是显然的。


继续生产万能模板，这次更万能了一些，理想化=疏漏？样本量一大那对结果影响更小了。数据上终于找不到找茬的借口了，这下集火实验条件了。实际实验时摩擦力和空气阻力都是存在的，但是占绝对少数，对最后结果不产生大的影响，这是实验条件疏漏吗？书上学过的东西换个地方就不会了。

我一条条讲好了，免得你又夹杂辱骂在其中。上一楼我不得不举报了。

你对辱骂的定义可真是宽泛，你这道理轱辘半天还是那几句话，一条一条只是拖延时间罢了，到现在集合论还没搞明白。

巴山冷箭

我是小白，根本看不懂你们探讨的专业知识，以我小白的看法，所谓杀毒软件的主防就是自动检测与拦截，广义上说可把监控（含动态启发、虚拟机、人工智能等）、HIPS、自保等都可纳入主防范畴，厂家的理念不同取点不同，机制不同，主防模块可调动其它模块及数据库进行联合防护也可独立防护，只要能自动防御住的就是好猫主防模块能力也是厂家的技术底蕴的体现。

欧阳宣

温馨小屋 发表于 2021-2-23 00:48
没有。B不一定包含A。这是基本逻辑问题。

小车的摩擦力对结果影响不大，但是这是小车重量很轻的情况 ...

B不一定包含A，所以一个被启发检测但是能过主防的样本是可能存在的。那为什么不应该剥离启发单测主防？为什么要去说启发检测结果可以忽略不计？你忽略了客观实验结果，能忽略实验条件吗？

样本再多，只要有一个启发检测结果，说明你的实验条件就是错的。这唯一的启发杀已经被拦下来了，主防能不能杀你就不知道了。一个错误条件下产出的结果只能说和那个错误的条件是符合的。你的测试条件里既有主防也有启发，那出来的测试结果就当然两个都有。而且样本数多了，启发拦截的样本个数只会更多。

一个有关杀毒的讨论你花了一半的文字在说小车我也是服了。请你收起那些花哨而且和讨论无关的语言，一个问题：为什么要用实验结果反过来为实验的合理性辩护？

pal家族

你们真的太强了
我宁愿拿这个时间给刻晴练级

温馨小屋

pal家族 发表于 2021-2-23 09:02
你们真的太强了
我宁愿拿这个时间给刻晴练级

我没钱，刻晴也没装备，打不过升级任务也练不了级

抽卡出了一堆弓，我都吐了，我的主力是刻晴和香菱，现在安柏坐拥两把五星弓