关于5年之后....

wwwab

kakenhi 发表于 2022-11-10 01:16
这个wwwab在这混淆视听，简单回复一下。

赛门：强在本地启发式模拟。17年就可以跨进程模拟，除了真上 ...

老样本40楼解释了

赛门现在不强啊，他现在本地检出率很高吗，也就云信誉杀杀杀机学杀杀杀乱杀

anthonyqian

wwwab 发表于 2022-11-11 06:59
老样本40楼解释了

赛门现在不强啊，他现在本地检出率很高吗，也就云信誉杀杀杀机学杀杀杀乱杀

确实…… 为什么会有“大佬”觉得铁壳启发很强、“难以绕过”……

wwwab

anthonyqian 发表于 2022-11-11 08:27
确实…… 为什么会有“大佬”觉得铁壳启发很强、“难以绕过”……

听说n年前铁壳的本地虚拟机挺好

但是现在不论这个技术怎么样还在不在，铁壳的检出率、检出方式、误杀率误报率怎么样有目共睹

说360拿瑞星，说火绒拿赛门铁克，而且一般都是厂商黑子，真是觉得厂商不好一般用户都是有理有据的，结果拿个n年前的赛门铁克出来的，我见到这种一般就是厂商黑子或者n年没有接触过杀毒防病毒软件界的。。。都是当年，现在又不怎么好，还有的现在还在盲目崇拜国版江民（台版江民有个AI机学引擎可能还行）或者微点这种的，真搞不懂

说到微点还容易有个误区，就是微点一般重点使用网络防火墙进行防护，所以对后门或者spy有的时候可能网络防火墙检出可疑文件产生了可疑外联给你干掉，而且还不一定会认数字签名（微点客户端应该有个本地对所有进程分类和打分的机制，有个地方可以看到对当前正在运行进程的分类，虽然很多都是错误的分类）。但是现在的防病毒软件很少单独就直接根据一个网络外联来没理由地干掉你，所以微点的误报也不低，像P2P下载类的软件，连出去就被杀，迅雷百度网盘都被微点杀过

00006666

wwwab 发表于 2022-11-11 16:19
听说n年前铁壳的本地虚拟机挺好

但是现在不论这个技术怎么样还在不在，铁壳的检出率、检出方式、误杀 ...

因为赛门铁克(不是诺顿)在企业有一定的用户，演练可能会遇到……

很多杀软没有企业用户，攻防演练也不太可能遇到。

kakenhi

wwwab 发表于 2022-11-11 16:19
听说n年前铁壳的本地虚拟机挺好

但是现在不论这个技术怎么样还在不在，铁壳的检出率、检出方式、误杀 ...

又混淆概念了。我说本地启发式模拟强度，你就开始扯断网检出率。。

本地启发式模拟，虚拟沙盒，即在程序还没实际运行，未对系统产生实际影响的时候，通过一系列的手段来预测程序的所有分支，推断程序的大致功能。也就是你发的这张枪图中，我用红圈圈出来的这句话：



火绒说这是他的核心技术，存在较高的门槛。我在24楼说，这种模拟大家都有。我在对抗过程中就遇到WD，360，天擎，KES，SEP都有这种检测。我说HR有什么脸称这是它的核心技术呢？

但是，对本地模拟结果的判定规则，赛门有很大一部分是在云上面做出判定的，而HR是在本地做出判定的。所以你才会开始扯断网检出率对不对。。但回归问题的本质，究竟是谁的模拟能更准确跑出程序所有分支，更能推断程序所有功能，更难以被小聪明的手段绕过呢？这点上赛门至少在17年就强过现在的HR了。关于规则到底是在云好还是本地好，我肯定是支持云，因为更难以对抗，但你也许有不同想法。那看看你发的枪图里面HR自己是怎么说的吧：



关于我是怎么确定杀软通过“本地启发式模拟、虚拟沙盒”跑出了样本，这个你实际去免杀对抗一下就知道。本地模拟技术会在一定程度上扭曲程序的执行逻辑。即使是真实运行会出错的程序，也有可能被模拟执行找到“正确解”，这样就暴露了杀软通过启发式虚拟机检测样本这一事实。

kakenhi

你开心就好 发表于 2022-11-10 09:40
火绒的缺点在于样本运营机制整体太过保守  而且好像只关注恶意代码方面 漏洞方面关注比较少 并不是说他做 ...

“互联网上传播的热门样本”是个人用户，根据他们看得到的威胁做出的解释。
而这以外的样本是否如你所说，“现实世界传播概率很小”呢？如果是的话，那实际上我国近些年提出的“建设网络安全强国”这个概念就根本无法成立了。被某些国家用作借口制裁中兴华为的“证据”也不会存在了。
看不到的东西，不应默认它不存在。攻防演练是一个把它们暴露在公众视线中的好机会，但事实就是只能暴露一小部分。

kakenhi

anthonyqian 发表于 2022-11-11 08:27
确实…… 为什么会有“大佬”觉得铁壳启发很强、“难以绕过”……

我只是在探讨技术，可没有往自己脸上贴金说我是“大佬”哈。
或许，您才是真正的大佬

欧阳宣

反而 44 45楼都是明白人

你拿着个样本区双击成绩就当成金科玉律 觉得实践是检验真理的唯一标准 但是全球从数量和金额上 企业级的针对性攻击才是大头 高精尖的样本和攻击手段才能更加体现杀软整体水平

然后这个整体水平又是企业版的水平而不是个人版的 样本区的成绩也就是咱拿着个人版杀软在那里扫扫扫 能有胆子实机双击的就算英雄了

所以你在这里揣着样本区成绩去否定他对杀软水平的看法 其实就是没有意识到你和他的视野或者知识水平方面的差距

你和anthonyqian想的那些你们觉得颠扑不破的东西也只在特定的范围内有效

但是在他那个范围内 他的论断一样是正确的 至于你们两方涉及的范围孰高孰低 那大家就自己有自己看法了 我这次站45L这位仁兄

wwwab

kakenhi 发表于 2022-11-11 21:27
又混淆概念了。我说本地启发式模拟强度，你就开始扯断网检出率。。

本地启发式模拟，虚拟沙盒，即在程 ...

我没说这个技术啊，你不是自己举的赛门铁克的例子吗，那赛门铁克现在怎么样

wwwab

欧阳宣 发表于 2022-11-12 04:51
反而 44 45楼都是明白人

你拿着个样本区双击成绩就当成金科玉律 觉得实践是检验真理的唯一标准 但是全 ...

他说一大堆你的总结说的没问题我承认，我也没有必要否认他对杀软的看法，因为有道理，在某种程度上来说都是正确无误的我也知道

但是说赛门铁克现在确实不强吧，那个例子感觉就像以前什么什么技术非常好传得很开，现在也不强了，很多企业“他们用啥我也用啥”，或者守旧思想，并且在这类人群当中也非常常见....

你也无需大惊小怪，我不迷信权威