大家都来说说EIS的优缺点

zwl2828

说 ESET 只有扫描的，可以去不存在的网站搜几个视频，标题如下：

1、ESET vs. Advanced Persistent Threats

2、Protecting against APTs on multiple layers

Michael_Zhu

ESET火肯定有他的道理的，而且每日卡饭病毒库，成绩都不差。
另外，有没有大神ESET+智量的？还是单奔ESET. 智量好像也不错哦

晟龙

ESET主防不行，特别是对勒索

maomao110

Michael_Zhu 发表于 2022-5-1 20:43
ESET火肯定有他的道理的，而且每日卡饭病毒库，成绩都不差。
另外，有没有大神ESET+智量的？还是单奔ESET. ...

装火绒吧  哔哩哔哩  知乎  小红书  抖音的大佬都在推荐  效果很不错的  

Michael_Zhu

maomao110 发表于 2022-5-2 11:53
装火绒吧  哔哩哔哩  知乎  小红书  抖音的大佬都在推荐  效果很不错的

火绒查杀能力太弱了，还不如管家呢

wwwab

Michael_Zhu 发表于 2022-5-2 16:07
火绒查杀能力太弱了，还不如管家呢

火绒特征强度比eset强，eset特征做的比火绒多但是质量并不高

你可以看看https://bbs.kafan.cn/thread-2229693-1-1.html主楼和21楼

eset不仅主防烂，扫描特征也不好好做，特征强度还比不过火绒，比火绒还依赖一堆质量不高的特征的堆砌

或者就靠病毒经常用的强壳通杀或者易语言通杀，干啥啥不行，通杀误伤第一名

Michael_Zhu

wwwab 发表于 2022-5-3 09:21
火绒特征强度比eset强，eset特征做的比火绒多但是质量并不高

你可以看看https://bbs.kafan.cn/thread- ...

一个小测试不代表什么啊，每天卡饭的病毒库，火绒检测率那么低，50%上下，真的连管家都不如

wwwab

Michael_Zhu 发表于 2022-5-3 10:32
一个小测试不代表什么啊，每天卡饭的病毒库，火绒检测率那么低，50%上下，真的连管家都不如

但是现实就是这样

火绒是特征库没eset多
但是eset是特征质量不高堆砌了一堆低质量特征进去进行的检测

eset质量最高的检测就是国外版杀易语言

B100D1E55

wwwab 发表于 2022-5-3 09:21
火绒特征强度比eset强，eset特征做的比火绒多但是质量并不高

你可以看看https://bbs.kafan.cn/thread- ...

脚本特征和PE特征是两回事，可以考虑做个PE魔改测试再嚷嚷。

脚本这种表层本来基本就是字符串通用匹配，做减法绕过太容易了，特征做“强”了动不动就翻车，比如这篇化石文章 https://grack.com/blog/2010/03/1 ... i-virus-heuristics/

识别一个恶意程序其周边行为是很重要的参考，否则这么多加密程序怎么区分这个是cerber那个是Ryuk。那个测试里面的确有的删改没改加密路径但是周边行为变了自然分数降低到阈值下（这本来就是eset客户端侦测一直遵循的原则）。解决方法是当衍生的变种多起来之后那么对应的无关周边行为会逐渐在特征库更新的时候从特征集中剔除改用更加难以替代/更隐蔽的特征，这种特征浮动细心一点的测试者没多久就会发现。其实就这个测试而言我这里还说玄乎了，脚本这种有时候就是一两个很迷的不可理喻的字符串匹配到了就杀，类似上面那个化石文章里的发现，根本没像那个测试者一样从人类理解代码语义的角度来匹配。理由很简单，表层scan obfus的脚本多了去了，尝试语义理解只会自找麻烦，客户端侦测用最省性能的方法覆盖大多流行脚本就行，剩下交给后续防御层

PE变种多的比如hiddentear你横着改竖着改都会被ESET杀，不加壳或者猥琐方法最后只能是自己重写加密路径，这个测试俺n年前做过但是懒得写文章了。另一个案例是当年ESET报某争议golang程序的时候github issue thread里面群众使用浑身解数都免杀不了……这个反正实践出真知，越流行的越难免

当然也有脚本虚拟机扫描这种东西eset应该是没有做，但脚本虚拟机有自己的性能问题

只是看到你在这里说这个我就偷偷冒个泡，继续潜水

wwwab

B100D1E55 发表于 2022-5-3 11:42
脚本特征和PE特征是两回事，可以考虑做个PE魔改测试再嚷嚷。

脚本这种表层本来基本就是字符串通用匹配 ...

我不认为特征做“强”了就一定会翻车，卡巴和火绒目前也没翻车事实就是eset删了个注释开始就无法检测了

PE类样本该过eset还是过，你别举那种家族性样本。我就类似于国内的mbrlock吧样本区里面经常有，eset扫描过了双击就完蛋，据@ICzcz 所言每次上报加上killmbr几个字eset的反应永远都是最快的说明他们也是重视Killmbr的，而每次上报都是回复Win32/KillMBR.XXX trojan我不确定特征做了没有然而下次还是漏

那种家族性样本eset的确做得很强，但是卡巴和火绒做得强的家族性样本特征你也横着竖着改改不掉的，没有意义的吧



我只能看出来eset做的特征强的时候和隔壁完全一样，做得不认真的随便过，你要说平均质量跟火绒卡巴确实没法比