卡巴斯基主防测试(断网锁库)

温馨小屋

欧阳宣 发表于 2021-2-23 01:23
B不一定包含A，所以一个被启发检测但是能过主防的样本是可能存在的。那为什么不应该剥离启发单测主防？为 ...

B不一定包含A，所以一个被启发检测但是能过主防的样本是可能存在的。那为什么不应该剥离启发单测主防？为什么要去说启发检测结果可以忽略不计？你忽略了客观实验结果，能忽略实验条件吗？

你这又闹笑话了，可能存在是真的，不过存在就代表不可忽略不计了吗？这什么逻辑。从理论上，启发占绝对少数可以忽略，结果上也是这样，我从来没有结果推实验条件，这是你自己加的戏。

举个例子：斜面小车实验，空气阻力是存在的，所以我们是不是应该在真空环境下做实验？很简单的道理，换成杀软又不理解了。

样本再多，只要有一个启发检测结果，说明你的实验条件就是错的。这唯一的启发杀已经被拦下来了，主防能不能杀你就不知道了。一个错误条件下产出的结果只能说和那个错误的条件是符合的。你的测试条件里既有主防也有启发，那出来的测试结果就当然两个都有。而且样本数多了，启发拦截的样本个数只会更多。

就算小车重量再大，只要有一点空气阻力影响结果，说明你的实验条件就是错的。

继续万能套话，这个不多说了。

已经被启发拦了，没过主防，这个确实，所以它没测到主防啊，可以不把它算到主防测试里啊，很显然扫描杀不杀对行为防御没有什么影响，所以这个样本主防杀不杀的概率并不会因启发杀而升高，所以直接排除即可。它被杀的概率应该与其他样本的主防查杀率一致。

样本数多了，启发拦截的数量当然会更多，可是比例会更高吗，不一定，因为1个样本是没办法分割的，如果选全新家族样本，很可能启发会继续扑街。

测试结果有主防也有启发是真的，不过我前面讲的排除方法似乎你都选择性不理解，不过大部分你看不起的看客似乎可以理解。

一个有关杀毒的讨论你花了一半的文字在说小车我也是服了。请你收起那些花哨而且和讨论无关的语言，一个问题：为什么要用实验结果反过来为实验的合理性辩护？

您之前的言论明显推翻了课本上的小车实验，照这么说课本上的实验从条件上都错了，结果更是无意义，看起来您可能是物理学术权威呢，能不能就物理课本上的错误发表一下您的高论？

从理论上就能推出不影响结果，根本无需用结果来反推，自己加戏上瘾啊。

欧阳宣

温馨小屋 发表于 2021-2-23 11:26
你这又闹笑话了，可能存在是真的，不过存在就代表不可忽略不计了吗？这什么逻辑。从理论上，启发占绝对 ...

我滴娘啊 不要再提车了 您是4S店的还是路边喷漆的？你生拉硬拽了一个物理的例子进来，在这样一个有针对性和偏向性的语境里，我当然怎么说怎么错。请停止这种诡辩然后直面事实。是谁在往话里面“加”东西？

从理论上，启发占绝对少数

理论之所以是理论是需要被证明的，你说启发占绝对少数，那就证明它吧，或者至少把样本种类和数量扩大到足以令人信服再来提忽略的事吧。你这样“我说对就对”的叫做公论，你说启发占少数就占少数，你是谁，欧几里得么

存在就代表不可忽略不计了吗？

我非常理解你有多么想要忽略这些非主防检测的例子，但是25个测试样本里7个非主防杀凭什么忽略？从比例上，7/25没有到可以忽略的地步，从意义上，这7个样本证明了启发对测试结果有无法忽略的干扰。

很显然扫描杀不杀对行为防御没有什么影响，所以这个样本主防杀不杀的概率并不会因启发杀而升高，所以直接排除即可。

某个样本被主防杀的前提是先过掉扫描/启发。如果启发杀了，这个样本被主防杀的概率立刻就为0了。所以启发会降低一个样本被主防检测的概率。而且样本还有能过主防但是不能过启发的情况。

已经被启发拦了，没过主防，这个确实，所以它没测到主防啊

对的，所以没测到主防就不是主防测试了。你可以说它是一个极端条件下的卡巴断网测试，就OK了，谢谢。

温馨小屋

欧阳宣 发表于 2021-2-23 13:54
我滴娘啊 不要再提车了 您是4S店的还是路边喷漆的？你生拉硬拽了一个物理的例子进来，在这样一个有针对性 ...

我滴娘啊 不要再提车了 您是4S店的还是路边喷漆的？你生拉硬拽了一个物理的例子进来，在这样一个有针对性和偏向性的语境里，我当然怎么说怎么错。请停止这种诡辩然后直面事实。是谁在往话里面“加”东西？

实在是无法解释你的理论违反物理课本标准实验思想了吗，采用各种耍赖的方法来逃避这一话题，这个物理的例子和杀软的例子是密切相关的，他们的设计思想一致。

理论之所以是理论是需要被证明的，你说启发占绝对少数，那就证明它吧，或者至少把样本种类和数量扩大到足以令人信服再来提忽略的事吧。你这样“我说对就对”的叫做公论，你说启发占少数就占少数，你是谁，欧几里得么

说起发低是根据样本区双击经验还有4年前前人的测试得出的综合经验，旧的病毒家族启发比较管用，新毒包括APT那类，基本都是miss。

样本再多，只要有一个启发检测结果，说明你的实验条件就是错的。

你这不也是强行“我说你有问题就是有问题”，甚至不惜推翻物理课本里的实验理论，我都以为你是哪个物理学权威呢，要改写课本了。要证明你这个理论，你先去把物理学课本里的东西推翻，探究施加外力对平面上小车运动的作用，有摩擦力就是不对，摩擦力很小也不行，这是实验设计上的问题，因为有了摩擦力我们实际测得的是摩擦力与施加外力的合力的作用影响，而不是单独外力的影响。

在四五个帖子前面我就早就知道会有人这么说，本来论坛玩家就没有能力严谨证明这种复杂理论，发展到现在基本就是贴吧杠精套路了。要不你也来证明一下在样本选择正确的情况下启发数量多到不可忽略，这根前面那种需要翻源代码证明的问题一样，我在知乎上也经常遇到这种杠精。

我非常理解你有多么想要忽略这些非主防检测的例子，但是25个测试样本里7个非主防杀凭什么忽略？从比例上，7/25没有到可以忽略的地步，从意义上，这7个样本证明了启发对测试结果有无法忽略的干扰。

选择性忽略我前面说的样本选择问题，只断章取义的拿出有利自己的结论，其他视而不见，实际上是2/21，而且还有一个是脱壳版本，只有一个样本是不知道主防是不是会杀的，存疑的数据是1/21，已经不能更小了吧。

而且这7个样本里有4个是非启发杀，这里就强行归到启发里了？混淆视听的能力可真强，1/21大约是4%，3/27大约是11%，在存在古老样本的情况下才勉强超过2位数百分比，要是全新病毒家族的话那就更惨了，这些启发大多是前面的老毒，后面7月份之后的毒就启发了一个无壳版，你要非得强行无法忽略，那我也没有办法，这就是你自说自话了。类似的对话至少已经3次了。

某个样本被主防杀的前提是先过掉扫描/启发。如果启发杀了，这个样本被主防杀的概率立刻就为0了。所以启发会降低一个样本被主防检测的概率。而且样本还有能过主防但是不能过启发的情况。

你大学概率论有没有及格啊。。。

“某个样本被主防杀的前提是先过掉扫描/启发”，这种情况是P(B|Abar)，显然这是你在混淆概念，自己改条件了，一个样本被主防杀和一个样本能被主防杀是不一样的，前面那个命题被加了条件。免杀启发之后我们就可以获知此样本能否被主防杀，启发判定成功与否是不会成为行为判定的前提条件的。

对的，所以没测到主防就不是主防测试了。你可以说它是一个极端条件下的卡巴断网测试，就OK了，谢谢。

21个有效样本里只有一个没测到主防，就不是主防测试了，先不说你选择性忽略我排除干扰的方式，用少量样本否定全部的这个逻辑是谁教你的？我不举例子了，你这波实在太搞笑了。

sloganall

果然是高楼必有杠精。。。
楼主的测试并不是一个极其严谨的主防测试，但是对于一个个人参考测试来说挺正常的，那位欧阳xx一定是为论坛水贴来做贡献的

温馨小屋

sloganall 发表于 2021-2-23 19:03
果然是高楼必有杠精。。。
楼主的测试并不是一个极其严谨的主防测试，但是对于一个个人参考测试来 ...

没办法，可能我做到AV-C的水平他也不会承认这是个主防测试，难啊，我都懒得跟他杠了，真是还不如去练刻晴。

之前我在知乎遇到杠精也是，业余时间回复个东西，最后弄成写论文了


既然断网锁库有人不满意，准备自己写一个勒索玩玩了，4年前的老路

欧阳宣

sloganall 发表于 2021-2-23 19:03
果然是高楼必有杠精。。。
楼主的测试并不是一个极其严谨的主防测试，但是对于一个个人参考测试来 ...

我一直也只是想说“楼主的测试并不是一个极其严谨的主防测试”，为什么你说了他就赞同，我说了他就对我一顿骂呢？是因为你的ID和他有什么共同点么？

欧阳宣

温馨小屋 发表于 2021-2-23 14:54
实在是无法解释你的理论违反物理课本标准实验思想了吗，采用各种耍赖的方法来逃避这一话题，这个物理的例 ...

我从你这一堆宣泄情绪的话里挑出来几个有用的吧。

旧的病毒家族启发比较管用，新毒包括APT那类，基本都是miss

你这里恰好全部选了勒索来测。APT容易miss你根据的是已有的双击经验，那你在自己测APT的时候有断网？有锁库？应该没有吧。APT这个例子的预设环境和你这个测试条件已经差别很大了。
你我都清楚这里的断网只是为了迁就样本而已，样本质量实在是太太太差了。就算你测试条件完全不改，但是样本数目提高到100个，那说服力也强了很多。这二十几个样本里种类单一，数量也少，确实有点寒碜。

我意思是你也是在实际环境下双击样本很多的人，没有必要为了这二十几个样本去合理化这个有纰漏的实验条件，毕竟都是样本的错。

实际上是2/21，而且还有一个是脱壳版本，只有一个样本是不知道主防是不是会杀的，存疑的数据是1/21，已经不能更小了吧

我看的数据是启发杀有3个（2,7的第一个，14中的一个），入库有3个（4,11）。4那个例子很有意思，一个19年的库怎么把20年12月份的勒索能入库？你解释下？我是越看越觉得卡巴的特征检测牛逼，衰减性居然这么低。

免杀启发之后我们就可以获知此样本能否被主防杀，启发判定成功与否是不会成为行为判定的前提条件的

是的，如果启发和主防两个在同一个层面同时作用，样本当然就要么被启发要么被行为判定。就像这个帖子里的诺顿一样。但你也说完全确定主防能否杀，需要先免杀启发，说明你也知道这两件事有先后顺序。一个样本先被启发杀了，未必主防能够检测的话还会再报一遍？本体都被隔离了吧。上面的启发3个+入库3个里面，会不会存在这样的情况？会。是不是干扰？是。所占比例有没有低到可以忽略的地步？总计6个非主防检测，所以我觉得不能。

温馨小屋

欧阳宣 发表于 2021-2-24 03:01
我从你这一堆宣泄情绪的话里挑出来几个有用的吧。
你这里恰好全部选了勒索来测。APT容易miss你根据的是 ...

我从你这一堆宣泄情绪的话里挑出来几个有用的吧。

终于承认了你选择性无视我回帖的内容了吗。不容易。

你这里恰好全部选了勒索来测。APT容易miss你根据的是已有的双击经验，那你在自己测APT的时候有断网？有锁库？应该没有吧。APT这个例子的预设环境和你这个测试条件已经差别很大了。

继续断章取义混淆视听，我说APTmiss是指启发miss，这里被你加戏了，断网影响HEUR启发吗？不锁库都查不出来，所以启发对于新病毒并没有那么管用，市占率如此之大的卡巴随便一针对启发就完蛋了，这么显而易见的结论被你选择性无视，强行将话题引导到环境差别上。

你我都清楚这里的断网只是为了迁就样本而已，样本质量实在是太太太差了。就算你测试条件完全不改，但是样本数目提高到100个，那说服力也强了很多。这二十几个样本里种类单一，数量也少，确实有点寒碜。

样本质量确实差没毛病，不过只有前面几个差，后面的都还好，样本为什么这么差你需要问隔壁BD楼的楼主，这里并不需要100%的说服力，看大致结论即可，这不是写论文。嫌样本少那你来自己做一个啊，你自己不做跑到别人的帖子下面挑三拣四。你看看论坛里有几个双击样本超过100的测试帖？

我意思是你也是在实际环境下双击样本很多的人，没有必要为了这二十几个样本去合理化这个有纰漏的实验条件，毕竟都是样本的错。

样本少是少，不过实验条件并无很大纰漏，尤其是你说的那几个纰漏，子虚乌有。

我看的数据是启发杀有3个（2,7的第一个，14中的一个），入库有3个（4,11）。4那个例子很有意思，一个19年的库怎么把20年12月份的勒索能入库？你解释下？我是越看越觉得卡巴的特征检测牛逼，衰减性居然这么低。

入库的有四个，第二个入库杀的我只截了一个图，平时样本区测试多的应该能了解卡巴的特征强度吧，普通特征强度也不高，加个壳能过掉一半，这个非启发杀只能解释为这是老毒又被抓过来了。

是的，如果启发和主防两个在同一个层面同时作用，样本当然就要么被启发要么被行为判定。就像这个帖子里的诺顿一样。但你也说完全确定主防能否杀，需要先免杀启发，说明你也知道这两件事有先后顺序。一个样本先被启发杀了，未必主防能够检测的话还会再报一遍？本体都被隔离了吧。上面的启发3个+入库3个里面，会不会存在这样的情况？会。是不是干扰？是。所占比例有没有低到可以忽略的地步？总计6个非主防检测，所以我觉得不能。

行为杀和特征杀之间能有相互关系吗？只是软件设计成了先后顺序而已，我们可以采取某些方式过掉启发，你又开始选择性忽略这一部分。

然后你继续选择性忽略里面的5个古病毒，这一套伎俩你已经用了好几遍了，古病毒有什么测试意义？直接排除不就行了。我明白你肯定不能排除这些，因为排除了之后你的理论就站不住脚了，看起来你似乎已经明白了用1个样本否定其他20个过扫描的样本是搞笑行为。

看起来我以后要是还搞测试的话就得把所有细节掰开了揉碎了给你们塞进去，有些理解能力不到位得人会理解错误。

欧阳宣

温馨小屋 发表于 2021-2-24 09:41
终于承认了你选择性无视我回帖的内容了吗。不容易。

继续断章取义混淆视听，我说APTmiss是指启发mis ...

终于承认了你选择性无视我回帖的内容了吗。不容易。

不得不说有很多东西我必须要无视，因为你的话有很多东西和讨论确实没有关系，你喜欢煽动情绪不知道是不是想要引我我和你对骂，口吻也挺激动的。你可能需要冷静一下，精炼一下语言。

我说APTmiss是指启发miss，这里被你加戏了，断网影响HEUR启发吗？不锁库都查不出来，所以启发对于新病毒并没有那么管用，市占率如此之大的卡巴随便一针对启发就完蛋了，这么显而易见的结论被你选择性无视，强行将话题引导到环境差别上。

第一你怎么知道我说的不是？第二断网不影响启发是对的，但是启发的库总要更新，不至于像你测试这样故意锁着不更新。你先下载样本，再断网再测没问题，至少可以模拟比如宿舍断网这种偶尔出现的情况，但是故意锁库就不合适了。之所以要反复说环境差别我有什么办法，还不是因为你非要说成差别不大，差别能不大么。一个一年多不更新的杀软和更新之后的差别是很大的。至于为什么要把这两个来比较差别呢？因为后者这个先下载好再断网的环境更符合你平常如果要断网双击的环境和条件。

样本为什么这么差你需要问隔壁BD楼的楼主，这里并不需要100%的说服力，看大致结论即可，这不是写论文。嫌样本少那你来自己做一个啊，你自己不做跑到别人的帖子下面挑三拣四。

你对你自己的测试对那人的样本质量这么得过且过，怎么对别人对你测试的评论你就这么精抠细挑，见不得批评的？请不要把对对方的好恶带到讨论里面来可以不。有什么样的测试就会有什么样的回复。对大部分人来说这个测试看着节目效果拉满就开心了，我只是质疑了实验条件而已，我对卡巴断网下的检测能力也是肯定的。样本区我用BD企业版断断续续回复的双击结果肯定远比100个多，说多了你又说我炫耀。但说回这个测试确实干货不多。样本质量差，实验条件也有问题。

不过实验条件并无很大纰漏，尤其是你说的那几个纰漏，子虚乌有。

那你自己说说你的实验条件有什么纰漏？很可能说的和我差不多，只是你认为的程度不严重而已。

行为杀和特征杀之间能有相互关系吗？只是软件设计成了先后顺序而已，我们可以采取某些方式过掉启发，你又开始选择性忽略这一部分。

然后你继续选择性忽略里面的5个古病毒，这一套伎俩你已经用了好几遍了，古病毒有什么测试意义？直接排除不就行了。

行为杀和特征杀肯定么有关系，但是先后顺序是肯定存在的，而且你也没有过掉启发。你要真能过掉启发，那达到的效果也就和我说的剥离启发效果一致了，真的，我也非常希望你能这么做。

你说有老毒，这里的老是针对什么时间点？针对现在肯定是老的，但是你的卡巴为了锁库应该是装上就没有更新过。相对19年4月，这5个毒还老么？我去测BD那个贴看了那些样本出现的时间，有时间的里面我看到最早的是20年6月30号的，那所有样本对一个19年4月份的卡巴来讲肯定就都是全新样本了。

温馨小屋

欧阳宣 发表于 2021-2-24 13:13
不得不说有很多东西我必须要无视，因为你的话有很多东西和讨论确实没有关系，你喜欢煽动情绪不知道是不是 ...

不得不说有很多东西我必须要无视，因为你的话有很多东西和讨论确实没有关系，你喜欢煽动情绪不知道是不是想要引我我和你对骂，口吻也挺激动的。你可能需要冷静一下，精炼一下语言。

关键问题都被你直接下定义没关系了那还讨论个啥，我反驳的内容你直接绕开，这么讨论下去说100w字也没用。

这句话非常精炼。