McAfee太适合养老了

ジ蓅暒划过づ

zyx9 发表于 2025-4-27 22:18
有时间你可以自己测测啊，我没太多时间

卡饭病毒样本包 20250425 第278期  为例

我基本每天都测，咖啡有点本地机学。。不过照你这么说腾管也有vt上就自己一家报毒的样本这怎么说？而且据我了解这个样本包很多样本咖啡都是拉黑处理过的

ジ蓅暒划过づ

编辑

ジ蓅暒划过づ

awsl10000次 发表于 2025-4-27 21:36
卡巴或者eset这种几乎不抄袭的就吃挺多亏的，对未知样本响应速度或多或少会小于其他抄袭的厂商，有的时候 ...

前面好像说太绝对了，等下怕被咖啡粉说，还是不说了

hansyu

ジ蓅暒划过づ 发表于 2025-4-27 22:42
而且据我了解这个样本包很多样本咖啡都是拉黑处理过的

虽然我没怎么测过这些样本包，至于是不是拉黑处理我建议看一下programdata\mcafee目录里的detection.log，里面检测样本后面的av和neo的hti_rep数值是1的话说明是是已入库的，而不是主观推测都是云拉黑，尽管实际情况确实是云拉黑居多。

awsl10000次

hansyu 发表于 2025-4-27 22:51
虽然我没怎么测过这些样本包，至于是不是拉黑处理我建议看一下programdata\mcafee目录里的detection.log ...

不懂就问，如果有这么大数量的云拉黑（甚至md5拉黑）的话，咖啡是怎么优化性能的呢，咖啡性能表现好像还不错？

ジ蓅暒划过づ

hansyu 发表于 2025-4-27 22:51
虽然我没怎么测过这些样本包，至于是不是拉黑处理我建议看一下programdata\mcafee目录里的detection.log ...

确实，连大部分报毒名都随机分拣的，而且你也说了大部分都是云拉黑的，那我说很多都是参考vt上无脑云拉黑的我感觉也没啥问题吧。

hansyu

awsl10000次 发表于 2025-4-27 23:02
不懂就问，如果有这么大数量的云拉黑（甚至md5拉黑）的话，咖啡是怎么优化性能的呢，咖啡性能表现好像还 ...

具体怎么优化的这个我就不太清楚。从咖啡文件夹的日志来看，扫描一个样本要经过hti云引擎，rp-s本地机学引擎，rp-s云端引擎，传统av本地库，neo yara本地特征库，本地可信特征库的检测后，综合上述引擎结果得出最终结论。日志里也有记录每个引擎的耗时，有兴趣可以查看一下。
其中hti云引擎和rp-s云引擎都要计算样本的hash值，大体积的可执行程序双击后要等比较长时间估计就是耗在这上面。

hansyu

ジ蓅暒划过づ 发表于 2025-4-27 23:07
确实，连大部分报毒名都随机分拣的，而且你也说了大部分都是云拉黑的，那我说很多都是参考vt上无脑云拉黑 ...

关于报毒名是样本的sha5值啊……什么叫随机分拣。至于分类，你得看入Neo库的那些，那个报毒名分类还是比较准的，当然由于在样本区出现数量较少一般不怎么看到。
比如上次有3个lumma stealer，咖啡都是neo库杀，报毒名也准，且当时eset和卡巴都没入库和拉黑。

ジ蓅暒划过づ

hansyu 发表于 2025-4-27 23:14
关于报毒名是样本的sha5值啊……什么叫随机分拣。至于分类，你得看入Neo库的那些，那个报毒名分类还是比 ...

我没说过咖啡就参考vt上eset和卡巴呀，你拉上去看看

hansyu

ジ蓅暒划过づ 发表于 2025-4-27 23:21
我没说过咖啡就参考vt上eset和卡巴呀，你拉上去看看

我寻思你不就说的全部参考VT吗，我只是说大部分是，还是有在做样本收集的，仅此而已。

另外，虽然我也觉得咖啡大多数时候都是抄VT，且我的常用电脑一直用的ESSP，不过有些时候总看到你经常在讨论ESET和咖啡的时候就认为别人是咖啡粉在贬ESET是我的错觉吗……