查看: 13167|回复: 73
收起左侧

[瑞星] ESM365几天使用体验

  [复制链接]
BFAX
头像被屏蔽
发表于 2021-5-6 23:15:05 | 显示全部楼层 |阅读模式
本帖最后由 BFAX 于 2021-5-23 11:24 编辑

首先无论帖子里提到或者没提到的诸多问题,我仍然对瑞星的技术实力不提出质疑
只是针对ESM365这个产品,差强人意已经不足以评价它了

首先是ESM365这几天在样本区的表现:
1x  Ransomhttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208259&pid=48698653漏杀
Ransom.sodinokibihttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208256&pid=48698350漏杀
ms01022854app https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208246&pid=48698200漏杀
cmd.exehttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208253&pid=48698191漏杀
#Lazarushttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208223&pid=48693893漏杀
#Ursnifhttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208182&pid=48692006漏杀
#Trickbothttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208181&pid=48692031漏杀
Ransomwarehttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208169&pid=48689638杀2漏1
#Gozihttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208153&pid=48687944查杀
#IcedIDhttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208155&pid=48687937漏杀
#Dridexhttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208154&pid=48687928漏杀
AsyncRAThttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208152&pid=48687914漏杀
#Flubothttps://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2208129&pid=48685894漏杀

测试量不算多,如果要说没有代表性,我不反对,参考其他杀软的表现,包括和瑞星同期的某位遗老,心里有数就行
硬要说社区扫描器什么的,我只能说这里只说ESM365,对于产品来说,不用等于没有
-------------------------------------------------------
PS:RDM+产品迟迟不用
XywCloud 发表于 2021-5-7 08:56
rdm+目前没有在任何一款客户端产品上启用,说的直白点,就是产品怂了。

以及ESM端非PE文件不走云查杀
XywCloud 发表于 2021-5-7 15:03
非PE现在确实不走云查,这个问题很早就有
等明天我上班后我会跟产品那边提。

这两点加在一起,ESM产品的查杀能好才是有鬼了
-------------------------------------------------------
而瑞星对于主动上报的处理态度也十分令人迷惑,别的杀软快的半个小时一个小时就对上报的样本响应了,甚至有的上报了几分钟就能响应,而我昨天下午上报的样本一整天的时间都超了,到我现在发帖的时候也还没有响应,就算你分析人员五一放假(当然这是在扯了别当真),这也一个工作日了,这个响应速度我真的是前所未见

XywCloud 发表于 2021-5-7 00:24
2.那个大数据平台,在其他帖子的回复里提了走的是自动管线,而且邮件回复那块好像有问题。想走人工流程+得到确切反馈,目前可以去卡卡论坛提交样本。


至于误报,只能说比WD强
但是和其他主流或非主流杀软比。。。
我就不想多说什么了,看我白名单有多长就是了:


防火墙是我还在关注瑞星的唯一理由,瑞星全功能安全软件(RIS)回归我曾经也盼了好几年,希望破灭了好几次,我之所以要体验ESM365,找补一下当年的遗憾是最主要的原因了
但是ESM365的防火墙是真的闹心啊

ESM365的防火墙没有针对程序的详细规则设定,只要是瑞星无法自动识别的,无论是选择放行不放行,都会被加入受限程序

而受限程序即使你不选择防篡改,也会影响启动速度,启动会卡一下,而且是全屏卡,鼠标都不能动键盘按键都没反应的那种,而且这是和电脑配置无关的,无论你的电脑是高配还是低配,众生平等

而且不能自动识别一些冷门软件情有可原,比如我的Mypal浏览器,每次打开都卡呢么一阵我忍了,像Python、IDM、qBittorrent这种都不能自动识别。。。我简直无话可说

想象力丰富的饭友请自行脑补一下,我用Mypal浏览器调用IDM下载的时候整个人是怎么裂开的。。。(就这么裂开的→)

当然这还不是ESM365的防火墙最严重的问题

最严重的问题是,一旦ESM365的防火墙无法自动识别某个程序,那这个程序被加入受限程序后,有的时候一定概率你启动不了,就是你点开这个程序后,后台有进程,但是程序就是启动不起来,而最最严重的是,不知道ESM365做了什么魔鬼操作,这些程序的进程还不能通过进程管理强制关闭,你再启动一次也是没用的,除非你注销或者重启系统,虽然这个问题出现的不是很频繁,但是有那么两三回你就会想砸电脑的

另外一个很严重的问题,有的时候,你启动系统后,会发现网络连接是正常的,但是就是上不了网,修复网络重启网卡都没用,重启系统才能恢复正常,这个问题我已经碰到三次了,最后一次就是我发这个帖子的时候,已经忍无可忍了,直接卸载,没用重启,还没卸载完呢,就恢复正常了


最后,我只能说新版的UI还不错

但是深度体验后我才发现,这个UI的问题也够多的啊
问题主要出在扫描界面上,包括右键扫描、自定义扫描、全盘扫描
问题症状包括:点了扫描没反应、扫描界面一闪而过然后退出消失,但是你看一下扫描日志,扫描是启动了的
还有就是,处理大量威胁时界面一定概率闪退,或者卡住没反应,而且你等到天荒地老也没反应、、、、
然后你只能退出重启然后重新扫、、、、、
当然重新扫描会不会出现以上问题,也看天意

还有一个小问题,防火墙界面的这个流量监控,每次关闭再打开主界面都要重新再点一次开启按钮,这不是*了**放*的行为么


总结:无话可说了、、、

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3分享 +3 人气 +4 收起 理由
屁颠屁颠 + 3 版区有你更精彩: )
wangyuhe + 1 版区有你更精彩: )
XywCloud + 3 精品文章

查看全部评分

trumping
发表于 2021-5-6 23:34:13 来自手机 | 显示全部楼层
这就不错了 国产有几个有完整墙查杀率一线的  据卡饭大牛说今年瑞星换新主防 新引擎 防火墙智能化指日可待
BFAX
头像被屏蔽
 楼主| 发表于 2021-5-6 23:43:37 来自手机 | 显示全部楼层
trumping 发表于 2021-5-6 23:34
这就不错了 国产有几个有完整墙查杀率一线的  据卡饭大牛说今年瑞星换新主防 新引擎 防火墙智能化指日可待

这个查杀率算一线。。。
防火墙不是智能不智能化的问题,你就算全手动,不出问题也行
哪个大牛?瑞星的员工嘛?
XywCloud
发表于 2021-5-7 00:24:12 | 显示全部楼层
1.检出率那块不多提,大部分样本都是非PE的(宏、脚本之类的),这个东西由于ESM这边根本不开云查,就算是云端报了然后拿产品扫也是不报的。这个策略问题之后我会跟他们提,至于改不改真不是我说了算,有一些东西的检测手段目前还在研发当中
稍微提一句,目前我们这边对于部分APT样本可以在病毒名里明确指出APT组织名称,而且大多数出现点名的APT组织的样本,VirusTotal上首次扫描里国内厂商仅瑞星可检测(在早期还有少量甚至VirusTotal初次扫描仅瑞星可以检出的样本)
给几个MD5可以去VT上感受下(只不过非高级账户看不了历史扫描结果,有一丢丢尴尬,只不过我回帖的时候这里面部分文件还只走过一次扫描):
里面有几个新样本,指不定过几天会出现在样本区,然后你有可能会看到其他国产杀软报毒,但实际上,初次扫描的时候只有瑞星会杀,而且是断网杀。
8638BEEB16A543EADF585D7BD74AA239
1DBE29DE498FA06B21B2FF85418A8593
9B9CECA25B48E17C3F34118168B05F14
d2ceea4568c475a83e61a82b013f7727
7bbc01d162f9a852237694e06bedb2ba
2.那个大数据平台,在其他帖子的回复里提了走的是自动管线,而且邮件回复那块好像有问题。想走人工流程+得到确切反馈,目前可以去卡卡论坛提交样本。
3.其他的问题到时候会让ESM的人来看
4.我们这边今年过年很多人都没回家,实际上我今天还处于假期(休的年假,我们组里其他人也有很多也在假期),所以病毒分析响应这块可能真的会慢一些,还请见谅

评分

参与人数 1人气 +3 收起 理由
Virus4 + 3 加分鼓励

查看全部评分

BFAX
头像被屏蔽
 楼主| 发表于 2021-5-7 00:29:28 | 显示全部楼层
本帖最后由 BFAX 于 2021-5-7 00:32 编辑
XywCloud 发表于 2021-5-7 00:24
1.检出率那块不多提,大部分样本都是非PE的(宏、脚本之类的),这个东西由于ESM这边根本不开云查,就算是 ...

你的意思是,漏杀是ESM的问题,瑞星本可以杀
但是ESM产品不可以是吗?
虽然我没统计,PE的至少有一半左右吧
那么你们的扫描引擎究竟体现在什么产品上最完善,是不能公开的特殊机构使用的产品吗?
XywCloud
发表于 2021-5-7 00:49:44 | 显示全部楼层
BFAX 发表于 2021-5-7 00:29
你的意思是,漏杀是ESM的问题,瑞星本可以杀
但是ESM产品不可以是吗?
虽然我没统计,PE的至少有一半左 ...

1.目前在VT上放的引擎算是最完整的引擎(只不过在我印象里,VT的引擎非PE也不走云查),只不过那个引擎也确实出现了误报
2.有一部分类型的样本的检测手段还处于研发当中(宁可不报我们也不想本地强行1:1检出,强行1:1检出那就有可能会是在挖大坑),意思就是VT上那个完整版引擎也不会报,这个我不否认
3.补充一下,主帖内你那堆白名单,我猜有一部分是修改版软件/破解版软件,还有一部分属于历史遗留问题(暂时无法明说,相关问题我已经在尝试推动解决了)。如果可以的话,你可以把相关文件发到卡卡论坛,注明为疑似误报
4.我们曾经有推动过让RDM+(当然还有一些其他的引擎)正式进入到产品中,但ESM那边并未同意(也就是说目前我们愿意开放给产品的引擎能力【我们这边觉得问题不大了】,产品那边并不想完全接纳)
Jerry.Lin
发表于 2021-5-7 01:02:15 | 显示全部楼层
XywCloud 发表于 2021-5-6 10:49
1.目前在VT上放的引擎算是最完整的引擎(只不过在我印象里,VT的引擎非PE也不走云查),只不过那个引擎也 ...

那个人版的呢?其他版本有那个引擎配置较新的?
BFAX
头像被屏蔽
 楼主| 发表于 2021-5-7 02:01:32 | 显示全部楼层
本帖最后由 BFAX 于 2021-5-7 02:08 编辑
XywCloud 发表于 2021-5-7 00:49
1.目前在VT上放的引擎算是最完整的引擎(只不过在我印象里,VT的引擎非PE也不走云查),只不过那个引擎也 ...

我比较关心具体在什么家庭或企业终端产品上RDM+有最完整的体现
其中有一个误报是这个迅雷极速版,L3和L4主程序被误报
https://bbs.kafan.cn/thread-2157787-1-1.html
其他的误报不足轮,有些如你所说,也有些是这台电脑存的老游戏,不适合公开说的东西其实全国可能也没多少人硬盘里会有,反馈了对你们的意义也不大,只能说靠你们自己改进希望能看到不再误报它们的那一天
emmm。。。我觉得以ESM现在的水平,不加入RDM+才有大问题,当然这是你们瑞星自己的事,你把这句话当礼拜天过了就行
我另外比较关心的是,个人版防火墙软件还在开发吗,和企业终端软件的防火墙有没有很大差距?
现在瑞星杀毒软件,是否拥有完整的防火墙,或者说现在瑞星杀毒软件的定位是以前的RIS还是说是带有一定网络防护能力的RAV?
另外单机版现在面向家庭用户价格是认真的吗???还是说本身就是面向微型企业或办公室的?
欧阳宣
头像被屏蔽
发表于 2021-5-7 02:21:04 | 显示全部楼层
这个帖子一条条看下来 作为一个也在大致和瑞星一样规模的公司工作的打工人,只能说感觉xyw有苦说不出

俺还是有共鸣的
pal家族
发表于 2021-5-7 08:18:15 | 显示全部楼层
写软件的感受和造汽车也一样嘛。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:04 , Processed in 0.130842 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表