真实水平？来掏出来比一比吧卡巴斯基 vs DI vs CheckPoint

显示全部楼层 · 发表于 2024-3-22 22:44:35

近日龟某在卡饭闲逛，无意中看到一个说法“应该排除龟包明显提升了DI S1的真实水平”
那还不好办，既然样本区统计可能涉及双击或者只是扫描的问题和测试先后顺序的时间差问题
那么就把这俩都拉上来比一比咯~ （只是较真，没有DISS这句话的意思）
顺便让惠普知道把DI换掉是多么错误的选择（我写下这句话的时候还不知道结果，这也有可能是个打脸Flag）

既然都测试卡巴了，那么不如把卡巴的“完全体”版本CheckPoint也端上来吧
CheckPoint相比卡巴，在完整OEM了卡巴引擎+KSN+SW的基础上，还加入了自己的机器学习和主防甚至沙箱
那么，午时已到~

参赛选手：
Kaspersky Standard v21.16.6.467
DeepInstinct v5.0.0.11 亚洲版本（相比美国/以色列版本缺失了DirectSyscalls保护和另一个我想不起来的保护）
CheckPoint Harmony Endpoint v88.20.0180 非欧盟版本（欧盟版本OEM Sophos引擎而非欧盟版本OEM 卡巴斯基引擎+KSN+SW）

测试样本：
3月1日~3月21日龟包（285X）
https://bbs.kafan.cn/thread-2267360-1-1.html（2X）
https://bbs.kafan.cn/thread-2267317-1-1.html（67X）
https://bbs.kafan.cn/thread-2267357-1-1.html（3X）
https://bbs.kafan.cn/thread-2267354-1-1.html（1X）
https://bbs.kafan.cn/thread-2267298-1-1.html（11X）
https://bbs.kafan.cn/thread-2267268-1-1.html（10X）
合计379X

以下为测试正片
（有几个样本似乎无外连/恶意行为，已被排除在结果之外）
卡巴：合计MISS 1X
https://www.bilibili.com/video/BV1CH4y1p7UR/
DI：合计MISS 4X
https://www.bilibili.com/video/BV1pu4m1T7o6/
CP：合计MISS 0X
https://www.bilibili.com/video/BV19j421R7dt/

呐呐呐~
不知道这个结果符不符合卡巴87% DI84%的统计呢？
（发帖时刚刚上传视频需要等待审核）

显示全部楼层 · 发表于 2024-3-22 22:45:36

前排
入选了一个小包的小透明路过

显示全部楼层 · 发表于 2024-3-22 22:46:32

本帖最后由 384也7492374 于 2024-3-22 22:53 编辑

这是DI少了两个主防功能的情况下，而且全部没有上报过DI的结果哦，因为DI的上报要求是，知道渗透框架，手法，bypass的详细技战术才可以
1. The sample must be zipped in a password protected file.
2. The device name and policy name must be included.
3. If the sample triggered an event, the event ID must be included.
4. If the sample bypassed DI, exact steps for the process must be included.
5. Any other information such as what type of bypass, special instructions, etc.

显示全部楼层 · 发表于 2024-3-22 22:48:46

抢个椅子

显示全部楼层 · 发表于 2024-3-22 22:50:58

我得说明的是，DI的所谓云拉黑强度比KSN弱的多了，这可是吃了很久的人工上报KSN拉黑的水平，DI上报要求很高的，几乎只能全自动采集（

这个时间线的查杀比例下还是DI吃大亏

显示全部楼层 · 发表于 2024-3-22 22:52:13

隔山打空气发表于 2024-3-22 22:50
我得说明的是，DI的所谓云拉黑强度比KSN弱的多了，这可是吃了很久的人工上报KSN拉黑的水平，DI上报要求很高 ...

我一开始就没指望过RealWorld样本能赢卡巴
就像我和huang1111借授权的时候说的一样

显示全部楼层 · 发表于 2024-3-22 23:11:42

谁知道惠普咋想的，把DI换成BD ATC然后仍然说wolf是NGAV，就这也算NGAV吗？不就是个主防，想不通

显示全部楼层 · 发表于 2024-3-22 23:19:22

驭龙发表于 2024-3-22 23:11
谁知道惠普咋想的，把DI换成BD ATC然后仍然说wolf是NGAV，就这也算NGAV吗？不就是个主防，想不通

没错啊，ATC有ML分类器有打分制，这不NG吗（被打

显示全部楼层 · 发表于 2024-3-22 23:29:31

大晚上不睡觉吗，ChectPoint个人版引擎，那种UI错误的是卡巴，新版是啥

显示全部楼层 · 发表于 2024-3-22 23:32:51

nvwcc 发表于 2024-3-22 23:29
大晚上不睡觉吗，ChectPoint个人版引擎，那种UI错误的是卡巴，新版是啥

你指的是ZANG吗？他们自己的机学+Sophos
企业版选择非欧盟即可得到卡巴全套+自家机学+自家主防+TE沙箱

[分享] 真实水平？来掏出来比一比吧卡巴斯基 vs DI vs CheckPoint

评分

评分

[分享] 真实水平？来掏出来比一比吧 卡巴斯基 vs DI vs CheckPoint

评分

评分

[分享] 真实水平？来掏出来比一比吧卡巴斯基 vs DI vs CheckPoint