有没有大佬发布下智量和火绒对比评测呢？

yzsts

C:\ProgramData\Huorong\Sysdiag\db  文件夹下 hips.db这个应该就是火绒的主动防御数据库才53KB 最近是 215 日才更新

swizzer

yzsts 发表于 2022-2-20 16:45
我就知道火绒主防规则库更新很慢，一个样本，先是拉黑，然后是加入通杀，最后才是加入主防规则库。火绒的 ...

#RedLineStealer这种可是早就存在的家族，行为特征几乎没变过，火绒主防不也没杀嘛···

只能说目前火绒还不想大力发展多步主防，或者是真的缺人手

swizzer

edited

小新爱打小怪兽

我投智量主防一票，火绒更多靠hips的规则，更新主防太滞后了，一切为了误报

云自游

火绒跟智量没得比

wwwab

swizzer 发表于 2022-2-20 16:55
#RedLineStealer这种可是早就存在的家族，行为特征几乎没变过，火绒不也没杀嘛···

只能说目 ...

其实是为了防止误报……

之前有人脱过特征名https://bbs.kafan.cn/thread-2220143-1-1.html，火绒其实有很大一部分特征是!submit为了防止误报进行测试不开放的

而且火绒的主防对于间谍、窃密之类的纯网络行为的病毒本来就不敏感，人家不识别可疑通信行为。除非是非常明确发现病毒存在下载其他木马或者进行僵尸网络远控的才会查杀拦截

此外火绒对于国外病毒国内出现得也非常多的，普遍做法是扫描加特征或者通杀（不是简单拉黑哈希），扫描不靠哈希也就能够干掉了，真正到时候也用不上靠不上主防的（目前Emotet、Stop、Farli都有特征通杀；代码混淆器报法精准干掉国外未知病毒虽然也有误报，国外的病毒样本集合包火绒半成都是有代码混淆器的报法的）

swizzer

wwwab 发表于 2022-2-20 19:20
其实是为了防止误报……

之前有人脱过特征名https://bbs.kafan.cn/thread-2220143-1-1.html，火绒其实 ...

这个帖子我看过···那Submit与其说是压误报不如说是做遥测用的，你看Themida壳都纳入规则了···
其实火绒很大一部分主防特征是拿来识别混淆器和勒索了。但是效果非常一般。

另外，窃密那一类，其实完全不用识别可疑通信行为啊，那是IPS干的事儿···至少咱可以用HIPS做一个禁止未签名程序访问浏览器数据规则吧，这就能防御很多窃密木马了


至于扫描，那个不在这一贴的讨论范围内。而且火绒的特征通杀也是在有人拍砖之后才开始搞的

wwwab

yzsts 发表于 2022-2-20 16:52
C:\ProgramData\Huorong\Sysdiag\db  文件夹下 hips.db这个应该就是火绒的主动防御数据库才53KB 最近是 215 ...

1. 主防包括了单步拦截（系统加固）、多步拦截（恶意行为监控）和网络防护
2. 防护能力不能由单看文件的大小来决定
3. 一般主防的核心的规则库一般只有在主程序版本更新的时候改动，不可能有杀软天天改改弄弄的影响稳定性能

HuaYa

火绒只是轻巧而已，其他的话也就这样

阿比安吉

智量有自定义hips、广告拦截了吗？