Avc 真实世界防护测试2-5月

驭龙

nicole 发表于 2025-6-17 23:42
感觉是团队换人了吧，还是想整点狠货想爆老用户的金币，不懂了，这个决策就离谱，感觉是把自己口碑给败了 ...

负责内测组沟通的官人还是那几个，只是不清楚他们在搞什么，唉

现在只希望测试组的成员的抗议能让他们回心转意，把ERR下放给ESSP吧，一切还是等正式版本发布才能确定

awsl10000次

驭龙 发表于 2025-6-17 23:01
我感觉是过了主防，基本上就交代了，好像没有未知文件反馈云的遥测？只有触发主防才反馈给云？当然只是猜 ...

卡巴的这套逻辑蛮怪的
即使是主防双击触发pdm了也不一定会自动上报,不知道自动上报的判断依据是什么
之前一个样本区的样本就是触发了pdm然后过了好几天卡巴仍然没拉黑，opentip是绿的
我在opentip提交重新分析结果卡巴分析师认为是误报...最后过了好几天才拉黑
而且卡巴的特征强度真的远不如吝啬至极的那家，特征加了好像也只能覆盖到很小面积的同源样本，
而且现在卡巴的主防强度也很弱，样本区双击触发主防的概率相比之前绝对是降低了的，atd是远远赶不上，甚至感觉比sophos的hmpa强度还要差一些。

nicole

驭龙 发表于 2025-6-17 23:47
负责内测组沟通的官人还是那几个，只是不清楚他们在搞什么，唉

现在只希望测试组的成员的抗议能让他们 ...

只能内测成员们加把劲提一下反对意见吧
还有esu这线我感觉推的太激进，加那个东西来爆老用户金币也不对呃

驭龙

awsl10000次 发表于 2025-6-17 23:50
卡巴的这套逻辑蛮怪的
即使是主防双击触发pdm了也不一定会自动上报,不知道自动上报的判断依据是什么
之 ...

按照官方对Astraea信誉系统的描述，收集信息好像是这些

例如，产品可以发送有关可疑对象的信息，比如：
对象 0xc9e13b88​a6f74509​6f7cf4b2​32aad4d4​1054b32d​464c5bed​95aa7de2​16bc22a0
对象的名称为“revised invoice and packing list.docx.exe”
该对象位于存档“revised invoice and packing list.docx.zip”中
该对象是从文件路径 c:\windows\temp 启动的
该对象未签名
等等。

汇总输入的信息后，可以生成如下知识：
特定文件在世界范围内变为已知的时间
URL 的完整列表（从中下载该文件，或向其发出请求）
磁盘上曾经存储过该文件的路径的完整列表
针对文件的检测的完整列表（如果发生检测）
启动文件的进程的完整列表
文件的普遍性及其随时间的变化

根据由专家和专业系统创建的庞大指标列表来验证每个对象。例如，必须检查以下内容：
文件在运行时是否具有双扩展名（“MyPhotos.jpg.exe”）
文件是否位于文件夹 C:\Windows\System32 中，但是已打包并且文件属性为“隐藏”
文件是否具有过时的扩展名之一（例如，“.com”、“.pif”等）
文件名是否与受信任的系统文件非常相似，但只有一处不同（例如，“svcnost.exe”）
文件是否是由已知恶意对象下载的
等等。

我感觉挺奇怪的，难道没有行为遥测吗？要知道某大号扫描器毫无存在感的DBI都有行为遥测！！！！！！

驭龙

nicole 发表于 2025-6-17 23:57
只能内测成员们加把劲提一下反对意见吧
还有esu这线我感觉推的太激进，加那个东西来爆老用户金 ...

现在好像有几个测试用户不怎么出现了，我也是其中之一，看看以后的情况吧，希望官方能回心转意

awsl10000次

驭龙 发表于 2025-6-18 00:00
按照官方对Astraea信誉系统的描述，收集信息好像是这些

我感觉挺奇怪的，难道没有行为遥测吗？要知道 ...

可能和之前的一大堆怀疑卡巴搞信息收集的争议风波有关
https://www.kaspersky.com.cn/about/press-releases/southkorea
源代码都开放审查（）
我觉得卡巴理念真挺好的，主动放开op这种行为跟某家相比简直是做慈善
就是强度下滑的有点太莫名其妙了按理讲受到制裁应该影响到的是ksn响应，但实在是不清楚卡巴一直引以为傲的主防强度为什么下降的这么快
而且前几天明明沙箱3.0效果很好，
这几天幕后沙箱就好像突然消失了一样///而且op还出现了各种可用性问题。
去年他们发的财报不还逆势而涨了，按理讲不应该影响到开发呀

驭龙

awsl10000次 发表于 2025-6-18 00:09
可能和之前的一大堆怀疑卡巴搞信息收集的争议风波有关
https://www.kaspersky.com.cn/about/press-relea ...

是啊，去年是赚了钱的，不应该是缺钱。

难道KSN收集能力下降，导致主防的行为特征更新不及时，所以主防效果不理想？可这也不对啊，主防规则不应该会因为云的偏科而导致行为特征更新不及时啊，有一点想不通

awsl10000次

驭龙 发表于 2025-6-18 00:23
是啊，去年是赚了钱的，不应该是缺钱。

难道KSN收集能力下降，导致主防的行为特征更新不及时，所以主 ...

是的，现在我对样本区的的大致观感是大概有1/3甚至到一半的样本能绕过卡巴的全部自动检测系统，里面不乏已经出现在vt几天甚至一周的（被上传到vt应该可以算得上在野了吧）。得靠饭友一个一个上报，即使是这样分析师加上的特征也会很快被过，主防几乎全程无声无痕。尽管avc成绩还行，但样本区的卡巴甚至有种二线杀软的感觉..靠网友提交样本，火绒.jpg浮现眼前...

呼啸山庄

驭龙 发表于 2025-6-18 00:00
按照官方对Astraea信誉系统的描述，收集信息好像是这些

我感觉挺奇怪的，难道没有行为遥测吗？要知道 ...

我一直以为KSN这一套收集行为、性能指标和环境条件等数据，然后将收集到的数据发送到中央系统进行处理、分析就是行为遥测。

呼啸山庄

awsl10000次 发表于 2025-6-18 00:09
可能和之前的一大堆怀疑卡巴搞信息收集的争议风波有关
https://www.kaspersky.com.cn/about/press-relea ...

之前貌似有一次主防变更还挺大的（论坛里我记得有人还发过帖子），感觉从那以后就主防以及特征强度开始变得有些缥缈不定的。（我有时候更新软件老不成功，然后就发现给我份高风险里去了，如果不手动调整，至少过个一两天才能分到低风险或者受信任，比如小狼毫）

话说自从更新了沙箱后感觉KSN和op一直有点不太稳定（感觉两三天支棱一下，然后两三天又支棱不起来了），要说以前op是win7可能真有些跑不出来，可问题是幕后沙箱貌似有win10的环境。