ESM365几天使用体验

BFAX

首先无论帖子里提到或者没提到的诸多问题，我仍然对瑞星的技术实力不提出质疑
只是针对ESM365这个产品，差强人意已经不足以评价它了

首先是ESM365这几天在样本区的表现:

1x  Ransom	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208259&pid=48698653	漏杀
Ransom.sodinokibi	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208256&pid=48698350	漏杀
ms01022854app	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208246&pid=48698200	漏杀
cmd.exe	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208253&pid=48698191	漏杀
#Lazarus	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208223&pid=48693893	漏杀
#Ursnif	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208182&pid=48692006	漏杀
#Trickbot	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208181&pid=48692031	漏杀
Ransomware	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208169&pid=48689638	杀2漏1
#Gozi	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208153&pid=48687944	查杀
#IcedID	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208155&pid=48687937	漏杀
#Dridex	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208154&pid=48687928	漏杀
AsyncRAT	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208152&pid=48687914	漏杀
#Flubot	https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208129&pid=48685894	漏杀

测试量不算多，如果要说没有代表性，我不反对，参考其他杀软的表现，包括和瑞星同期的某位遗老，心里有数就行
硬要说社区扫描器什么的，我只能说这里只说ESM365，对于产品来说，不用等于没有
-------------------------------------------------------
PS:RDM+产品迟迟不用

XywCloud 发表于 2021-5-7 08:56
rdm+目前没有在任何一款客户端产品上启用，说的直白点，就是产品怂了。

以及ESM端非PE文件不走云查杀

XywCloud 发表于 2021-5-7 15:03
非PE现在确实不走云查，这个问题很早就有
等明天我上班后我会跟产品那边提。

这两点加在一起，ESM产品的查杀能好才是有鬼了
-------------------------------------------------------
而瑞星对于主动上报的处理态度也十分令人迷惑，别的杀软快的半个小时一个小时就对上报的样本响应了，甚至有的上报了几分钟就能响应，而我昨天下午上报的样本一整天的时间都超了，到我现在发帖的时候也还没有响应，就算你分析人员五一放假(当然这是在扯了别当真)，这也一个工作日了，这个响应速度我真的是前所未见

XywCloud 发表于 2021-5-7 00:24
2.那个大数据平台，在其他帖子的回复里提了走的是自动管线，而且邮件回复那块好像有问题。想走人工流程+得到确切反馈，目前可以去卡卡论坛提交样本。

至于误报，只能说比WD强
但是和其他主流或非主流杀软比。。。
我就不想多说什么了，看我白名单有多长就是了:


防火墙是我还在关注瑞星的唯一理由，瑞星全功能安全软件(RIS)回归我曾经也盼了好几年，希望破灭了好几次，我之所以要体验ESM365，找补一下当年的遗憾是最主要的原因了
但是ESM365的防火墙是真的闹心啊

ESM365的防火墙没有针对程序的详细规则设定，只要是瑞星无法自动识别的，无论是选择放行不放行，都会被加入受限程序

而受限程序即使你不选择防篡改，也会影响启动速度，启动会卡一下，而且是全屏卡，鼠标都不能动键盘按键都没反应的那种，而且这是和电脑配置无关的，无论你的电脑是高配还是低配，众生平等

而且不能自动识别一些冷门软件情有可原，比如我的Mypal浏览器，每次打开都卡呢么一阵我忍了，像Python、IDM、qBittorrent这种都不能自动识别。。。我简直无话可说

想象力丰富的饭友请自行脑补一下，我用Mypal浏览器调用IDM下载的时候整个人是怎么裂开的。。。(就这么裂开的→)

当然这还不是ESM365的防火墙最严重的问题

最严重的问题是，一旦ESM365的防火墙无法自动识别某个程序，那这个程序被加入受限程序后，有的时候一定概率你启动不了，就是你点开这个程序后，后台有进程，但是程序就是启动不起来，而最最严重的是，不知道ESM365做了什么魔鬼操作，这些程序的进程还不能通过进程管理强制关闭，你再启动一次也是没用的，除非你注销或者重启系统，虽然这个问题出现的不是很频繁，但是有那么两三回你就会想砸电脑的

另外一个很严重的问题，有的时候，你启动系统后，会发现网络连接是正常的，但是就是上不了网，修复网络重启网卡都没用，重启系统才能恢复正常，这个问题我已经碰到三次了，最后一次就是我发这个帖子的时候，已经忍无可忍了，直接卸载，没用重启，还没卸载完呢，就恢复正常了


最后，我只能说新版的UI还不错

但是深度体验后我才发现，这个UI的问题也够多的啊
问题主要出在扫描界面上，包括右键扫描、自定义扫描、全盘扫描
问题症状包括:点了扫描没反应、扫描界面一闪而过然后退出消失，但是你看一下扫描日志，扫描是启动了的
还有就是，处理大量威胁时界面一定概率闪退，或者卡住没反应，而且你等到天荒地老也没反应、、、、
然后你只能退出重启然后重新扫、、、、、
当然重新扫描会不会出现以上问题，也看天意

还有一个小问题，防火墙界面的这个流量监控，每次关闭再打开主界面都要重新再点一次开启按钮，这不是*了**放*的行为么


总结:无话可说了、、、

trumping

这就不错了 国产有几个有完整墙查杀率一线的  据卡饭大牛说今年瑞星换新主防 新引擎 防火墙智能化指日可待

BFAX

trumping 发表于 2021-5-6 23:34
这就不错了 国产有几个有完整墙查杀率一线的  据卡饭大牛说今年瑞星换新主防 新引擎 防火墙智能化指日可待

这个查杀率算一线。。。
防火墙不是智能不智能化的问题，你就算全手动，不出问题也行
哪个大牛？瑞星的员工嘛？

XywCloud

1.检出率那块不多提，大部分样本都是非PE的（宏、脚本之类的），这个东西由于ESM这边根本不开云查，就算是云端报了然后拿产品扫也是不报的。这个策略问题之后我会跟他们提，至于改不改真不是我说了算，有一些东西的检测手段目前还在研发当中
稍微提一句，目前我们这边对于部分APT样本可以在病毒名里明确指出APT组织名称，而且大多数出现点名的APT组织的样本，VirusTotal上首次扫描里国内厂商仅瑞星可检测（在早期还有少量甚至VirusTotal初次扫描仅瑞星可以检出的样本）
给几个MD5可以去VT上感受下（只不过非高级账户看不了历史扫描结果，有一丢丢尴尬，只不过我回帖的时候这里面部分文件还只走过一次扫描）：
里面有几个新样本，指不定过几天会出现在样本区，然后你有可能会看到其他国产杀软报毒，但实际上，初次扫描的时候只有瑞星会杀，而且是断网杀。
8638BEEB16A543EADF585D7BD74AA239
1DBE29DE498FA06B21B2FF85418A8593
9B9CECA25B48E17C3F34118168B05F14
d2ceea4568c475a83e61a82b013f7727
7bbc01d162f9a852237694e06bedb2ba
2.那个大数据平台，在其他帖子的回复里提了走的是自动管线，而且邮件回复那块好像有问题。想走人工流程+得到确切反馈，目前可以去卡卡论坛提交样本。
3.其他的问题到时候会让ESM的人来看
4.我们这边今年过年很多人都没回家，实际上我今天还处于假期（休的年假，我们组里其他人也有很多也在假期），所以病毒分析响应这块可能真的会慢一些，还请见谅

BFAX

XywCloud 发表于 2021-5-7 00:24
1.检出率那块不多提，大部分样本都是非PE的（宏、脚本之类的），这个东西由于ESM这边根本不开云查，就算是 ...

你的意思是，漏杀是ESM的问题，瑞星本可以杀
但是ESM产品不可以是吗？
虽然我没统计，PE的至少有一半左右吧
那么你们的扫描引擎究竟体现在什么产品上最完善，是不能公开的特殊机构使用的产品吗？

XywCloud

BFAX 发表于 2021-5-7 00:29
你的意思是，漏杀是ESM的问题，瑞星本可以杀
但是ESM产品不可以是吗？
虽然我没统计，PE的至少有一半左 ...

1.目前在VT上放的引擎算是最完整的引擎（只不过在我印象里，VT的引擎非PE也不走云查），只不过那个引擎也确实出现了误报
2.有一部分类型的样本的检测手段还处于研发当中（宁可不报我们也不想本地强行1:1检出，强行1:1检出那就有可能会是在挖大坑），意思就是VT上那个完整版引擎也不会报，这个我不否认
3.补充一下，主帖内你那堆白名单，我猜有一部分是修改版软件/破解版软件，还有一部分属于历史遗留问题（暂时无法明说，相关问题我已经在尝试推动解决了）。如果可以的话，你可以把相关文件发到卡卡论坛，注明为疑似误报
4.我们曾经有推动过让RDM+（当然还有一些其他的引擎）正式进入到产品中，但ESM那边并未同意（也就是说目前我们愿意开放给产品的引擎能力【我们这边觉得问题不大了】，产品那边并不想完全接纳）

Jerry.Lin

XywCloud 发表于 2021-5-6 10:49
1.目前在VT上放的引擎算是最完整的引擎（只不过在我印象里，VT的引擎非PE也不走云查），只不过那个引擎也 ...

那个人版的呢？其他版本有那个引擎配置较新的？

BFAX

XywCloud 发表于 2021-5-7 00:49
1.目前在VT上放的引擎算是最完整的引擎（只不过在我印象里，VT的引擎非PE也不走云查），只不过那个引擎也 ...

我比较关心具体在什么家庭或企业终端产品上RDM+有最完整的体现
其中有一个误报是这个迅雷极速版，L3和L4主程序被误报
https://bbs.kafan.cn/thread-2157787-1-1.html
其他的误报不足轮，有些如你所说，也有些是这台电脑存的老游戏，不适合公开说的东西其实全国可能也没多少人硬盘里会有，反馈了对你们的意义也不大，只能说靠你们自己改进希望能看到不再误报它们的那一天
emmm。。。我觉得以ESM现在的水平，不加入RDM+才有大问题，当然这是你们瑞星自己的事，你把这句话当礼拜天过了就行
我另外比较关心的是，个人版防火墙软件还在开发吗，和企业终端软件的防火墙有没有很大差距？
现在瑞星杀毒软件，是否拥有完整的防火墙，或者说现在瑞星杀毒软件的定位是以前的RIS还是说是带有一定网络防护能力的RAV？
另外单机版现在面向家庭用户价格是认真的吗？？？还是说本身就是面向微型企业或办公室的？

欧阳宣

这个帖子一条条看下来 作为一个也在大致和瑞星一样规模的公司工作的打工人，只能说感觉xyw有苦说不出

俺还是有共鸣的

pal家族

写软件的感受和造汽车也一样嘛。