[8/11/21更新] 初步判断LiveGuard的正规操作

显示全部楼层 · 发表于 2021-11-6 23:41:23

本帖最后由 Eset小粉絲于 2021-11-8 15:27 编辑

在隔离区里，恢复报了一个星期左右的Suspicious Object依旧不入库的样本。
复制 > 改哈希值 > 压缩 > 解压 > 触发LiveGuard

几分钟后，确实被LiveGuard灭杀。

目前的个人看法，被云杀的样本才会被LiveGuard灭杀，已测了两个样本。另外，恶意行为如果已被ESET记录，LiveGuard好像也能杀。。。

总之，LiveGuard好像只对变种有效。。。

@anthonyqian @驭龙

官方论坛官人 —— Marcos：

Actually if a file is corrupted or if it's a password-protected sfx archive the verdict will be "clean" since the file could not be executed and could not do anything malicious.

实际上，如果文件已损坏或者它是受密码保护的 sfx 存档，则判决将是“干净的”，因为该文件无法执行且无法执行任何恶意操作。

链接

显示全部楼层 · 发表于 2021-11-6 23:49:31

我观察到的是被LiveGuard判有害的样本，不一会LiveGrid也会拉黑，报Suspicious。而不是被云杀的样本才会被LiveGuard灭杀。因为被云杀的样本压根不会被自动上传ELG分析，直接报Suspicious了。

ELG我试下来感觉它是一款很不成熟、检测率很低的云沙箱。之前看各种文章说EDTD很先进，也不过如此。

当然未来ELG会不会做出改变，还有待观察。

显示全部楼层 · 发表于 2021-11-6 23:51:05

anthonyqian 发表于 2021-11-6 23:49
我观察到的是被LiveGuard判有害的样本，不一会LiveGrid也会拉黑，报Suspicious。而不是被云杀的样本才会被L ...

也能这么说。。。

因为被云杀的样本压根不会被自动上传ELG分析，直接报Suspicious了。

所以我复制改哈希值测试。

显示全部楼层 · 发表于 2021-11-6 23:54:13

Eset小粉絲发表于 2021-11-6 23:51
也能这么说。。。

这说明了LiveGuard相比起原先的LiveGrid，对检测率的提升微乎其微。。。

显示全部楼层 · 发表于 2021-11-7 00:05:36

anthonyqian 发表于 2021-11-6 23:54
这说明了LiveGuard相比起原先的LiveGrid，对检测率的提升微乎其微。。。

立马降至EIS压压惊。

显示全部楼层 · 发表于 2021-11-7 00:17:24

好像有点弱

到时候还是用eis吧

显示全部楼层 · 发表于 2021-11-7 08:45:44

挺让人失望

显示全部楼层 · 发表于 2021-11-7 09:33:08

如果只是用大数据评分来简单判断，那真的是浪费钱了

显示全部楼层 · 发表于 2021-11-8 09:32:41

Eset小粉絲发表于 2021-11-7 00:05
立马降至EIS压压惊。

ESSP也有livegrid

显示全部楼层 · 发表于 2021-11-8 09:38:47

桑德尔发表于 2021-11-8 09:32
ESSP也有livegrid

只是想说LiveGuard可有可无，没必要花那么多钱，EIS已足够使用。

[讨论] [8/11/21更新] 初步判断LiveGuard的正规操作

本帖子中包含更多资源

评分

评分