理性讨论，国内杀软的主动防御究竟是什么水平

hai001hai

红豆有绿豆 发表于 2022-8-11 12:23
我觉得 东方 微 点被二三四 五收 购之后 就是国 内最强了

同感

xhmmmm

360因为庞大的装机量，在联机防御上其实应该挺强的。但是也因为国内装机量大的杀毒软件无非也就360、腾讯、火绒，后面两个一个用脚做的一个菜的一笔……总之国内如果想做病毒后门，基本上针对性地绕过这三家的规则就行了，所以在国内环境面对有心人它这个主防还真不好说。放国外样本里的话某种意义上比较能反映真实水平？

rogersg

huanwoheshan 发表于 2022-8-11 13:21
理性的说，微软自带安全工具已经吊打国内的安全软件了。

怎么个吊打，详细说说，我比较好奇。

yezixiuxiu

怎么那么多人都喜欢拿360和智量比呢，这两不是一个量级啊，360国内真的最强了

kakenhi

360：
基于白名单+签名、进程信任关系继承。
开启核晶模式的情况下，对国内攻防演习中的单文件钓鱼很有效且难以绕过。
实际上它过于依赖可信进程机制来抑制误报了。你如果把一个安装程序签名去掉再去运行，就会发现它的弹框数量之多，已经类似于某些单步HIPS了。。个人认为这种没什么技术含量，比较low。
缺点：
系统必须支持并开启CPU虚拟化。
系统不能是虚拟机、不能安装Hyper-V。
使用其他虚拟机时(如vmware、安卓游戏模拟器)，核晶模式会暂时关闭。
(个人觉得这个方面还有改进空间。不能CPU虚拟化就在R3上做监控，也比没有强。毕竟虚拟化server、虚拟化办公也是重要的使用场景)

火绒：
约等于没有主防。
实不相瞒，我20-22上半年，涉足国内RT开发。支持过很多项目，但从没被火绒及其OEM产品的主防拦截过。。
现在改行了，可以实话实说了。

智量：
基于白名单+签名、AI行为模型。
技术含量比360高，但规则更宽松。
个人觉得是国内最有潜力的，希望这家公司再接再厉吧，做点厉害的edr产品，向国外最高水平看齐。
不要再搞什么卡饭病毒样本区自己发样本自己拉黑这种鬼把戏了，我很不齿。祝技术越来越nb，也祝找到好的金主。

腾讯御点(企业版)：
防御机制类似于360。很奇怪的是，QQ管家却不具备同样的防护效果。
可能是鹅厂“借鉴”核晶模式，但担心专利官司所以没有加到个人产品里面。

QQ管家：
个人觉得主防拦截能力和关闭核晶模式的360相当。

1752556164

代表中国杀毒软件主动防御最高水平的肯定是东方微点

不过东方微点似乎经营困难了.

xzhlksh

huanwoheshan 发表于 2022-8-14 09:51
不知道您说的误报多指的是哪类软件，如果误报注册机之类的破解软件多，这很正常。另外好多国产软件，收集 ...

如果是注册机或者国产流氓之类的我也认了，毕竟咱也不能强求所有国外杀软都做到卡巴这样

但是稍微冷门一点的一些小工具，国内国外、开源闭源都有点误报率，就真的是。。。

搞得我装卡巴的最大原因就是干掉WD