ESET勒索防御测试

显示全部楼层 · 发表于 2021-7-17 16:14:45

B100D1E55 发表于 2021-7-17 15:46
自己亲手养肥的很大概率不杀

嗯....看来防御自制毒是个挺大的弱项呢...

显示全部楼层 · 发表于 2021-7-17 21:31:33

我之前写过4代的C#勒索

eset没有一个报的

我并没有刻意免杀

显示全部楼层 · 发表于 2021-7-18 01:12:10

本帖最后由 B100D1E55 于 2021-7-18 02:07 编辑

InnoriaAlter 发表于 2021-7-17 16:14
嗯....看来防御自制毒是个挺大的弱项呢...

我觉得他们从一开始就不怎么考虑客户端做未知威胁的检测，本地整套系统都是围绕检测已知威胁设计的（大概除了漏洞防御/勒索护盾之外）……

显示全部楼层 · 发表于 2021-7-18 01:17:12

henry217 发表于 2021-7-17 21:31
我之前写过4代的C#勒索

eset没有一个报的

自制不报正常，报了肯定是因为偷懒用了一些别人的代码

显示全部楼层 · 发表于 2021-7-18 01:20:52

BitterLotus 发表于 2021-7-17 15:15
希望能测下G Data和BD

BD有些检测挺玄学的，测起来估计会很累……

显示全部楼层 · 发表于 2021-7-18 02:14:35

B100D1E55 发表于 2021-7-18 01:12
我觉得他们从一开始就不怎么考虑客户端做未知威胁的检测，本地整套系统都是围绕检测已知威胁设计的（大概 ...

然后和前面说的...护盾和livegrid联动，云拉黑和护盾提示一起出现？

一直以为护盾是最前面的对未知威胁的防御

难道这也是为了压误报嘛？

显示全部楼层 · 发表于 2021-7-18 02:35:26

InnoriaAlter 发表于 2021-7-18 02:14
然后和前面说的...护盾和livegrid联动，云拉黑和护盾提示一起出现？
一直以为护盾是最前面的对未 ...

LiveGrid信誉和云检测是两套体系，信誉比较快出结果。我之前遇到一些文件信誉是黄色，上传云端检测后信誉变红，那个就是进入云已经过了信誉检测但是还没过云检测的情况。

所以信誉不良的时候可能云拉黑还没发生，这时候就和勒索护盾联动防御。和文件新旧也有关系，3天前的已知恶意文件勒索护盾就不防了。说明勒索护盾只防御非常新的信誉不好的文件，这样做符合实际传播规律，误报也会压得很低……真是骚操作

显示全部楼层 · 发表于 2021-7-18 02:40:35

B100D1E55 发表于 2021-7-18 02:35
LiveGrid信誉和云检测是两套体系，信誉比较快出结果。我之前遇到一些文件信誉是黄色，上传云端检测后信誉 ...

是啊，我感觉还是太注重于压误报上面了……感觉好像没有这个必要吧……

显示全部楼层 · 发表于 2021-7-18 03:25:01

InnoriaAlter 发表于 2021-7-18 02:40
是啊，我感觉还是太注重于压误报上面了……感觉好像没有这个必要吧……

用户基数一大，一个小误报可能会扩散成整场灾难……不过总体来说他们的确比较偏执于低误报

显示全部楼层 · 发表于 2021-7-18 07:42:37

B100D1E55 发表于 2021-7-18 01:17
自制不报正常，报了肯定是因为偷懒用了一些别人的代码

我确实偷懒

还是不报

[分享] ESET勒索防御测试