查看: 6218|回复: 35
收起左侧

[原创] 实测EDTD与ELG的区别

[复制链接]
vaedzy
头像被屏蔽
发表于 2021-12-6 23:24:37 | 显示全部楼层 |阅读模式
本帖最后由 vaedzy 于 2021-12-15 10:02 编辑

                                                           声明                                                                            本测试数据均来自已购的ESET Smart Security Premium以及ESET PROTECT Complete,测试数据来自@petr0vic 的x40 (2021-12-06)样本集合,结果可能因样本较少导致的错误判断,在连续测试后本贴会持续更新。



先放一张入正图




最近看论坛动不动就说ESET的ELG和EDTD 貌似是由于ESET Smart Security Premium给用户提供了ESET LiveGuard
在此看过PanzerVIIIMaus写的【ELG云玩家】ESET LiveGuard云玩家臆测,结论是
ESET在各种权衡的结果就是,ELG实战敏感度必然会比EDTD低,主要原因是决定被侦测的阈值肯定相当高。

但实测结果是EDTD与ELG分析过程无差别。详细差别如下描述:
1.ELG无法手动设置触发条件,EDTD有3个设置选项可用于EDTD触发难易等级。(此条作废,已找到办法 【更新】分享一个调整ELG调整触发阈值的办法 并带配置文件
2.ELG无回调的分析结果,只有查杀与不查杀,EDTD在100设备以上有详细分析结果,100设备以下无详细分析报告。



得到以上结论的测试方法:
@petr0vic 的x40 (2021-12-06)样本集合 下载解压后
ESET PROTECT Complete 查杀 32X  剩余8X EDTD返回结果Kill 3X 剩余5X 测试时间 2021年12月6号 17:32
ESET Smart Security Premium 查杀 33X 剩余7X ELG返回结果Kill 3X  剩余4X 测试时间 2021年12月6号 21:57


ESET Smart Security Premium 剩余样本名称
92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe
558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe



ESET PROTECT Complete 剩余样本名称
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe

其中剩余样本的EDTD回调结果如下
EDTD 行为报告 (eset.com) EDTD 行为报告 (eset.com) EDTD 行为报告 (eset.com) EDTD 行为报告 (eset.com)
如图所示

由于没有虚拟机 ESET Smart Security Premium测试结果由@netweb 提供。
由@netweb 提供的测试结果
扫描后剩7个
18a43fcc06880ac6a6beb2458e18333bc4dec989aa7dc484fb1c6eb9ac322b18.exe
92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe
558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
03614d528809171ea45459ac44783c841827e663322e3fdfe5b3e2477d47a160.exe
35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe
f718e9d196a4a8da1231158a961a38b33101022a9415bea4a802c6888087b3bd.exe

ELG删除的
18a43fcc06880ac6a6beb2458e18333bc4dec989aa7dc484fb1c6eb9ac322b18.exe
03614d528809171ea45459ac44783c841827e663322e3fdfe5b3e2477d47a160.exe
f718e9d196a4a8da1231158a961a38b33101022a9415bea4a802c6888087b3bd.exe

ELG报安全
92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe
558fa0fb510902adcb02eb734b1574e4021acf654762d180f82cfcb34e2457f6.exe
35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe
aac0981b64fba0cee84f603a980236e3e381df03118d48343524a820d38e9c5c.exe

如图所示 一共9个样本 Kill了 4个 剩余了5个 其中与@netweb 测试的缺少文件为 疑似入库杀。
file:///C:/Users/vaedz/Desktop/KOTrcCG1_40/31f9eae7db64f3bd45694737422f5628e2e43294c2d4ad8bf8ff460119ccb71c.exe

报告如下
EDTD 行为报告 (eset.com) 已重新提交,等待回调结果中,结果出现后将重新编辑此帖。

在此对比ELG与EDTD回调测试结果集会发现 其中报安全样本是一致的 因此在此推断ELG与EDTD其性能以及测试结果是一致的并,无实际差距。若非说有差距由此贴上方所属仅在于报告和触发有区别。

结尾:
由于之前也测试过一些样本与ELG结果一致,并无实际差距。当然处于严谨,可能是由于样本太少所以本贴得到的结论仅代表本人观点,并授权ESET企业版给与@ICzcz 测试更多样本。以后有新的结果或结论本人会修改本贴,重新进行分析。

特别鸣谢:@netweb 提供的ESSP测试结果 以及 @ICzcz 愿意进行ESET企业版的测试。

如果有朋友有更好的测试方法,欢迎提供。我有空也会依照提供的测试方法进行测试并共享结果。

92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6.exe 由Eset小粉丝测试 此样本已损坏,所以ELG与EDTD均无反应。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6人气 +15 收起 理由
Panda418 + 2 很给力!
驭龙 + 3 版区有你更精彩: )
a27573 + 3 精品文章
杀软病综合医院 + 2 感谢解答: )
aiqinghe + 3 感谢提供分享

查看全部评分

PanzerVIIIMaus
发表于 2021-12-7 11:41:26 | 显示全部楼层
本帖最后由 PanzerVIIIMaus 于 2021-12-7 11:45 编辑
ESET在各种权衡的结果就是,ELG实战敏感度必然会比EDTD低,主要原因是决定被侦测的阈值肯定相当高。

我这句话的依据是
官方在说明书指出,EDTD的“决定被侦测的阈值”可调
而非指“EDTD和ELG的侦测流程或从云端反馈的结果不一致”

我欲在文中表示的是这个观点,但没想到描述不完整产生了歧义,是我在这方面考虑不周

ICzcz
发表于 2021-12-6 23:25:23 | 显示全部楼层
棒棒的,之后可能再也不会有人吹ELG或EDTD了。。。
vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-6 23:28:54 | 显示全部楼层
ICzcz 发表于 2021-12-6 23:25
棒棒的,之后可能再也不会有人吹ELG或EDTD了。。。

有大概率是我测试方法不对。不过从我测试结果这个情况看 是一致的。 没关系 授权发你了 你也试试 咱们把他搞明白了
ICzcz
发表于 2021-12-6 23:29:31 | 显示全部楼层
vaedzy 发表于 2021-12-6 23:28
有大概率是我测试方法不对。不过从我测试结果这个情况看 是一致的。 没关系 授权发你了 你也试试 咱们把 ...

好嘞
vaedzy
头像被屏蔽
 楼主| 发表于 2021-12-6 23:45:53 | 显示全部楼层
本帖最后由 vaedzy 于 2021-12-6 23:50 编辑

补档

35063dd7540ad35ba887d756e2f9e8faffa14e77d7108c27327865b3fccbf6fb.exe

EDTD报查杀
入库杀....


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
anthonyqian
发表于 2021-12-6 23:49:57 | 显示全部楼层
EDTD的真实水平。。。信息差啊信息差
Eset小粉絲
发表于 2021-12-6 23:54:26 | 显示全部楼层
92f757633c618d3e8bf94956fc975b72a41f2e0620ac2dba6ec65e7e9f09ecf6

这样本已损坏,应该排除
aiqinghe
发表于 2021-12-7 07:55:41 | 显示全部楼层
这样看ELG和EDTD目前只是个辅助定位,当作大杀器还是差回事
kekeChen
发表于 2021-12-7 10:17:16 | 显示全部楼层
还是不错了,怎么样也有加强。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:59 , Processed in 0.130412 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表