收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 谁在说谎?
12下一页
返回列表 发新帖
查看: 1463|回复: 15
收起左侧

[讨论] 谁在说谎?

[复制链接]
784696777
发表于 前天 14:31 | 显示全部楼层 |阅读模式
安全厂商口水战:ESET 反驳趋势科技报告,已为 Win10 / Win11 防御 LOLBIN 攻击 https://www.ithome.com/0/832/003.htm

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 6

查看全部评分

回复

举报

驭龙
发表于 前天 15:09 | 显示全部楼层
本帖最后由 驭龙 于 2025-2-19 15:13 编辑

虽然我喜欢ESET,可如果按趋势科技的分析报告看,ESET确实是有被绕过的可能。
https://www.trendmicro.com/en_us ... step-detection.html

但问题是这种技术绕过其他安全软件也不难,而且按照ESET官方的说法是一月份的时候已经把样本特征入库,所以现在这种威胁根本绕不过ESET,前提是ESET监控没漏的话,样本是运行不起来的。
ESET论坛官方管理员的回答。
At 15:30 CET, February 18, 2025 - ESET communications teams were made aware of a research blog published by Trend Micro that names ESET “antivirus application” as the target of APT Group Mustang Panda a.k.a. Earth Preta.  

We disagree with the published findings that this attack "effectively bypasses ESET antivirus". This is not a bypass and we are bemused that Trend Micro did not alert ESET to discuss their findings.

The reported technique is not novel and ESET technology has been protecting against it for many years. Regarding this specific sample of malware, ESET had previously published details about it through its premium Cyber Threat Intelligence service and added specific detection since January. We have attributed the threat to the xxxxxxxxx CeranaKeeper APT Group. ESET users are protected against this malware and technique.

所以按照上述两方的说法,双方的说法都没有错。

值得注意的是,ESET觉得趋势科技在发布这篇内容的时候,没有事先与ESET沟通,这让ESET的这个官人有一点不理解
回复

举报

阮家双
发表于 前天 15:46 | 显示全部楼层
就那样呗  感觉win11不好使用    还是win10好
回复

举报

真小读者
发表于 前天 15:51 | 显示全部楼层
问问ai

根据现有信息,趋势科技和ESET的结论可能基于不同时间段的检测能力,双方观点均有合理性但存在以下关键差异:

攻击技术有效性时间线

趋势科技报告中的攻击实例可能发生在ESET更新检测规则(2025年1月)之前,因此在当时确实绕过了防护。

ESET声明当前(2025年2月)已通过更新补丁覆盖该攻击,用户现处于受保护状态。

技术新颖性争议

趋势科技强调攻击结合了MAVInject.exe和waitfor.exe的LOLBIN技术,属于特定利用链。

ESET认为此类技术并非创新,其防御体系已长期应对类似攻击手段。

检测覆盖范围

ESET指出该恶意软件(如EACore.dll)现已被标记为特定威胁(检测名称未公开),实时防护可拦截。

趋势科技未明确说明测试环境是否包含ESET最新病毒库版本,可能存在版本差异。

结论:若攻击发生在ESET 2025年1月更新前,趋势科技的结论成立;若在更新后仍能绕过,则ESET声明存疑。根据ESET公开信息,当前用户已受保护,因此现阶段ESET的防护有效性更可信,但趋势科技报告揭示了历史漏洞的存在。


回复

举报

神龟Turmi
发表于 前天 17:26 | 显示全部楼层
蛐蛐:这样能bypass掉ESET的检测
ESET:你文章里的样本已经拉黑了 所以(在你发布时)不存在了
就是这么个道理。。。一个说技术上能绕过 一个说我拉黑了所以不存在技术上有的没的

评分

参与人数 2人气 +6 收起 理由
x-天秤座 + 3 觉得神龟说的才是正确的,ESET是擅长拉黑和.
驭龙 + 3 原创内容

查看全部评分

回复

举报

1752556164
发表于 前天 18:26 | 显示全部楼层
ESET软件更新真是太慢了
回复

举报

bbszy
发表于 前天 18:52 | 显示全部楼层
神龟Turmi 发表于 2025-2-19 17:26
蛐蛐:这样能bypass掉ESET的检测
ESET:你文章里的样本已经拉黑了 所以(在你发布时)不存在了
就是这么 ...

eset经常是把工具拉黑,而不是从攻击途径封堵。
回复

举报

85683213
发表于 前天 20:51 | 显示全部楼层
其实这是阅读理解有问题,与其说是能被绕过,正确的理解是其他杀软不用特殊手段就能运行
回复

举报

nvwcc
发表于 昨天 07:09 | 显示全部楼层
我在墨西哥用趋势都卡,看来这玩意和网络无关
回复

举报

早上起来不刷牙
发表于 昨天 08:23 | 显示全部楼层
都是危言耸听
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-21 18:24 , Processed in 0.121139 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表