楼主: 温馨小屋
收起左侧

[讨论] 卡巴斯基主防测试(断网锁库)

  [复制链接]
BitterLotus
发表于 2021-2-9 15:06:10 | 显示全部楼层
温馨小屋 发表于 2021-2-9 15:02
SONAR估计没法测,断网直接残废,联网直接云杀

那就ESET吧
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 15:06:21 | 显示全部楼层
henry217 发表于 2021-2-9 13:42
你这咋   还能发帖?

思过期间发言,一看就是个大佬
BitterLotus
发表于 2021-2-9 15:07:24 | 显示全部楼层
温馨小屋 发表于 2021-2-9 15:06
思过期间发言,一看就是个大佬

一看就很牛逼
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 15:07:56 | 显示全部楼层

想看IDP和DG的测试结果
BitterLotus
发表于 2021-2-9 15:29:30 | 显示全部楼层
温馨小屋 发表于 2021-2-9 15:07
想看IDP和DG的测试结果

懒+内存不够
欧阳宣
头像被屏蔽
发表于 2021-2-9 16:04:38 | 显示全部楼层
本帖最后由 欧阳宣 于 2021-2-9 16:31 编辑
温馨小屋 发表于 2021-2-9 14:55
这个我前面提到过,PDM特征是会更新,有时更新速度很快,对特定的会漏检的行为特征进行补救,我也遇到 ...
Bazon联动报法,双击秒杀,根本没跑出行为

你也知道有这一点就行了,那没事了 卡巴的双击检测有非行为检测 也就是跟主防没关系的检测 确认了就行

ATC没有证据说明存在这一特点,你就信了

ATC没有证据说完全不依赖特征库;
SW已知会依赖特征库;
这两个声明哪个说服力更强 覆盖范围更大?这不是双标 这是正常比较吧

  1. 每一个主防测试贴基本你都在说无意义测试
复制代码

你自己要是锁库断网单奔哪怕一年 就像是你整天处在网络恶意威胁的最前线 所有未知威胁都在你的电脑上先用锁库断网的卡巴过一遍 KSN和特征库更新都覆盖不了 你做得到的话我就认你这个测试有意义。真的 我不说关了KSN 我至少每次特征库更新我要保证的 但一旦特征库更新了 SW的强度也就有保证了 并非是锁库时的情况

一直这么说是因为我就是一直觉得脱离真实使用场景的测试没有意义,而且测试条件离日常使用习惯越远,测试越没有意义
一个断网锁库 一个单测主防 两个都是日常绝不会有人长久单奔的测试条件,那测出来有什么意义?这种片面只强调本地主防的思维我觉得是很有害的 总觉得特征库更新 云端拉黑都没有本地运行后检测来得牛逼 那卡巴为什么要做特征库帮扶双击检测这回事?为什么卡巴拉黑反而是做得比很多只依靠云的厂商比如趋势熊猫都要好?

我真的好想听听你是在什么情况下天天遇到的样本都是能确保KSN之前没遇到过的
比方说你想测路由器坏了,试图模拟这些勒索样本对当时的卡巴是全新样本的情况 但是当时总有特征库保持几个小时前更新过
我处心积虑又帮你想了一个场景:一台电脑装了19年的卡巴 被人埋起来了 2021年考古发现了 重见天日 于是有人立刻在断网的情况下拿U盘拷贝了测试里这些样本到电脑上去关了监控再双击?你觉得可能么 现实生活谁会主动关闭某个杀软的组件并长久在生产环境里使用?论坛里两三个杀软一起装还有人嫌少……

考虑到UDS拉黑间隔毕竟在分钟级别 你要是讲道理就根本不会搞出这种没人在日常使用场景复现的测试条件 你说是不?
renyifei
发表于 2021-2-9 16:08:07 | 显示全部楼层
henry217 发表于 2021-2-9 13:42
你这咋   还能发帖?

不太清楚哎
henry217
发表于 2021-2-9 16:38:34 | 显示全部楼层
renyifei 发表于 2021-2-9 16:08
**** 作者被禁止或删除 内容自动屏蔽 ****

真神奇
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 17:20:56 | 显示全部楼层
本帖最后由 温馨小屋 于 2021-2-9 17:26 编辑
欧阳宣 发表于 2021-2-9 16:04
你也知道有这一点就行了,那没事了 卡巴的双击检测有非行为检测 也就是跟主防没关系的检测 确认了就行
...
也就是跟主防没关系的检测 确认了就行

是的,但是本帖中没有。
ATC没有证据说完全不依赖特征库;
SW已知会依赖特征库;
比如你这个断网锁库,卡巴有启发类特征库给主防作辅助,那当然和ATC那种只依靠本身更新规则的主防相比就占优势

从目前的迹象来看库只是用来扫描一下,扫描能杀的都会报bazon,PDM:Trojan.Win32.Generic报法扫描都杀不了,所以我把扫描杀的都挑出来了。所以理论上剩余样本都是行为检测,卡巴规则更老甚至要吃亏。SW已知会依赖特征库,但没有证据表明PDM:Trojan.Win32.Generic这个报法依赖特征库,通过了应用程序控制理论上特征库的作用已经结束了,那看来不是双标,你这个问题就属于以偏概全,只能说是 bazon报法已知依赖特征库而已。如果你说你没用过卡巴,那还情有可原。



一直这么说是因为我就是一直觉得脱离真实使用场景的测试没有意义,而且测试条件离日常使用习惯越远,测试越没有意义

当然不会有人单奔主防,这么做只是为了测试主防的水平,想测试扫描和拉黑水平,这很容易,样本区一扫就知道了,国际评测机构也有一堆评测,但是并没有任何主防评测,真实世界测试的话,拉黑速度快的肯定占优,这功劳算谁头上?想要控制变量知道这杀软主防怎么样,就这一个方法,尽管不完美,但也没有别的方法,找全新未入库病毒太难了,像SONAR根本就没办法大批量样本测试主防,只能找最新的未入库样本一个一个测。

这也并不是说唯主防论,拉黑还是非常必要的,对于远控这类东西主防漏掉非常常见,只能靠入库,样本区卡巴UDS无上报拉黑速度平均得1小时多,有的毒第二天才入库(比如那个Gozi),入库慢的一般广度比较低,但是碰到没主防那就凉了。病毒能杀在运行之前肯定最好,就算有回滚也会或多或少留下后遗症,而且如果病毒已经在运行了而且SW 过掉了,这时UDS一拉黑就可以通过SW清理衍生物了,应该和诺顿断网点毒(已入库)联网后出现一大堆SONAR杀是类似的逻辑,我觉得这是诺顿卡巴为什么要搞组件联动的原因。

我经常会下载破解软件,有些从论坛或者群里扒出来的文件很新,KSN无收录,VT也没有此文件,这时候KSN有个啥用。流行病毒我不怕,肯定光速入库,可是这种小众的玩意怎么办?只能靠主防。就算一年只下一个小众文件,有一个靠谱的主防也是非常有必要的。

想要找到这种环境很简单,只要别把自己的需求强加给他人就行。

栗子:
我刚从群里下的百度网盘下载软件,2月8日发布,KSN无查询,VT无收录。


2月9日的版本也有了,我又该更新了




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
henry217 + 1 根据版规,加1分以示鼓励

查看全部评分

温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-9 17:30:14 | 显示全部楼层
renyifei 发表于 2021-2-9 16:08
**** 作者被禁止或删除 内容自动屏蔽 ****

大佬牛逼,是不是黑了DZ
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:31 , Processed in 0.102550 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表