卡巴斯基主防测试(断网锁库)

henry217

Jerry.Lin 发表于 2021-2-9 01:56
原来链接失效了，有人再发么？我娱乐测下AVAST IDP

不然你测测 eset的hips？

jasperchau

卡巴666

TimelessTT

henry217 发表于 2021-2-9 10:38
不然你测测 eset的hips？

断网勒索防护就无了
DBI...不指望
ESET断网锁库就扫扫得了 成绩大概率没差

renyifei

henry217 发表于 2021-2-9 10:38
不然你测测 eset的hips？

测ESET得HIPS还不如测360的主动防御呢

欧阳宣

温馨小屋 发表于 2021-2-9 10:16
启发的那几个都是比较古老的病毒了，并不是都是新的，看那几个新的就行了。

扫描杀的也没几个，只能说 ...

特征库里的拉黑并不是主防层面的拉黑 这里提到拉黑两个字指的是在依据行为分析检测之前直接收纳特定特征的做法 过了特征库一样有拉黑 只是提取并下放的特征放到了不同层面而已 比如对诺顿来讲，ips，sonar，sds都有自己组件所用的特征 这十几个样本里，用一年前的特征库，启发出一两个的几率我觉得还是存在的吧

是不是得把杀软源码拿出来告诉你这就是本地主防杀得没有任何特征库联动你才信

“没有任何特征库联动”这不是你们特意断网锁库想要达到的条件么。可惜卡巴这个例子里锁库并不是抠掉库……

主防拉黑了为啥扫描不杀呢

拉黑的哈希值不一定是要下载到监控那一层的你明白不？小a有IDP.Generic, GD有BEAST(Filecloud),那都是监控层面来不及拉黑的东西放到主防去拉黑的例子

卡巴这个结果我有怀疑是因为卡巴的主防拉了监控特征库帮忙是你也知道的事实，而为什么我不怀疑ATC？ 是因为ATD/ATC直到现在都没有证据表明它有这个特点。。

1.我对ATC的了解依然基于以前BD区有个ATC专利文件的帖子，当时的ATC是一个依靠程序行为叠加分数和阈值进行判断的行为检测。当然那是15年的帖子啦 ATD我知道是从单一分数改成了多个分数而已。但是程序不跑起来不分析行为怎么打分呢 对吧
2.基于拉黑的报法也不可能出现很多人遇到的那种自编译程序就在被ATD误报的情况，新鲜文件肯定是来不及拉黑的

很多时候主防可能会放在两个层面来理解
A“基于行为分析的检测”B“双击执行后的检测”

如果是基于前者我觉得你的这个测试条件就是一个对卡巴有偏袒的测试条件 就像趋势是url拉黑大师，国际测试天天满分一样；如果是理解成后者那当然我只敢说卡巴牛逼了，逼我站队么这不是

但是你觉得主防，一个全称为“主动防御”的功能，究竟该理解成A还是B？你扪心自问一下？

我上面这段话已经在不停帮你找补了，结果你还是忍不住一来就说我杠。我觉得你现在已经不想讲道理了，但是我要把我觉得的道理跟你最后讲一次

761773275

Jerry.Lin 发表于 2021-2-9 01:56
原来链接失效了，有人再发么？我娱乐测下AVAST IDP

贴了

henry217

renyifei 发表于 2021-2-9 12:00
**** 作者被禁止或删除 内容自动屏蔽 ****

你这咋   还能发帖？

BitterLotus

只不过VM坏了，不然我来测下SONAR老司机

温馨小屋

欧阳宣 发表于 2021-2-9 12:06
特征库里的拉黑并不是主防层面的拉黑 这里提到拉黑两个字指的是在依据行为分析检测之前直接收纳特定特征 ...

过了特征库一样有拉黑

这个我前面提到过，PDM特征是会更新，有时更新速度很快，对特定的会漏检的行为特征进行补救，我也遇到过。这是一年前的库，就算有“拉黑”的成分，那么这个拉黑的规则对一年之后的毒仍具有防御能力，那么说明这个拉黑规则是有效的，是直击病毒要害的。

根据你定义的拉黑

在依据行为分析检测之前直接收纳特定特征的做法

这很明显是不成立的，我测试的时候所有PDM杀的度基本都跑出了行为，任务管理器就能看出来，或者搜索到了加密文件名，卡巴主防拦截点靠后这个事你应该也清楚，如果这个时候还没有进行行为分析那我不知道这主防是干啥吃的。如果你说的直接收纳特定特征是指行为特征，那我觉得这属于SW特征更新的一部分，是合理的。如果是非行为特征，那么应该在病毒跑出行为之前就杀了，类似Bazon联动报法，双击秒杀，根本没跑出行为。PDM:Trojan.Win32.Generic这个报法基本都是样本发作后5-10s杀的，日志大多能看出回滚内容。

“没有任何特征库联动”这不是你们特意断网锁库想要达到的条件么。

并不是，卡巴达不到这个目标，基本断网情况下过掉特征库就可以认为是单测本地主防了。

拉黑的哈希值不一定是要下载到监控那一层

病毒都运行了那还拉黑个啥意思呢，就算主防拉黑杀也应该在行为跑起来之前吧，不太了解IDP和GD，用得少。

卡巴这个结果我有怀疑是因为卡巴的主防拉了监控特征库帮忙是你也知道的事实

卡巴这个联动我认为只是调用特征库扫描了一下文件，没毒就过了。如果你觉得是特征库启发给主防提供了文件的基础数据，那这个没办法说，因为没有证据能证明这一点。新版ATC有没有后台偷偷调用特征库来辅助打分呢，也没有资料能证明，你看着好像实时监控关了，但是一点也不影响调用特征库啊。

基于拉黑的报法也不可能出现很多人遇到的那种自编译程序就在被ATD误报的情况，新鲜文件肯定是来不及拉黑的

ATC当然不会是完全基于拉黑的，如果有部分拉黑成分呢，你说的这种情况也是有可能出现的，来不及拉黑就放过直接打分呗。

但是程序不跑起来不分析行为怎么打分呢 对吧

如果你觉得程序成功跑起来之后杀=行为分析杀，那本帖里这些都是行为分析杀，我见过卡巴SW行为分析之前杀长啥样，鼠标刚一松开文件就没了。另外，一般特征库里命中的程序最迟都会杀在应用程序控制，如果组件全开的话根本看不到SW的拉黑报法。
如果你觉得程序成功跑出行为之后依然有拉黑杀，那这个就没法证明了，需要去看源码。

卡巴这个结果我有怀疑是因为卡巴的主防拉了监控特征库帮忙是你也知道的事实，而为什么我不怀疑ATC？ 是因为ATD/ATC直到现在都没有证据表明它有这个特点。。

主要的问题还是这句话，ATC没有证据说明存在这一特点，你就信了。卡巴同样也没有证据证明过了应用程序控制之后PDM:Trojan.Win32.Generic这个报法还有没有特征库的功劳，结果你就开始怀疑SW抢功。这只能说双标了。

我觉得你现在已经不想讲道理了

你居然好意思说我不讲道理，你这个问题一问出来，我就知道不翻源码问开发者根本解答不了，明显是来找茬的。每一个主防测试贴基本你都在说无意义测试，到我这居然换了个方式。我都准备好怎么怼你说无意义测试的帖子了。


卡巴特征库联动报法是这样的，样本区刚找的能HEUR特征库启发的病毒，关闭所有组件只剩SW，断网双击秒杀，连进程都没产生

事件 :    检测到恶意对象
应用程序 :    Microsoft Malware Protection Command Line Utility
用户 :    DESKTOP-45Q9TM2\KBLTSC
用户类型 :    活动用户
组件 :    系统监控
结果说明 :    检测到
类型 :    木马
名称 :    PDM:Trojan.Win32.Bazon.a
威胁级别 :    高
对象类型 :    进程
对象路径 :    c:\users\kbltsc\desktop
对象名称 :    vmware workstation 17 + crack feb 2021.exe
原因 :    数据库
数据库发布日期 :    昨天，2021/2/8 21:07:00

温馨小屋

BitterLotus 发表于 2021-2-9 14:26
只不过VM坏了，不然我来测下SONAR老司机

SONAR估计没法测，断网直接残废，联网直接云杀