国外杀毒软件官网都不介绍核心技术？LiveGuard技术解析

SakuraLuo25

不得不说，这国外杀毒软件的官网是真简洁，一点自己的核心技术都不做介绍，这些技术只能在深层的技术文档中找到，有的还没中文。。。

现在的ELG已经很强了，经过了这么多年的完善，机器学习和神经网络已经变得很成熟，现在ELG对于新型的病毒基本上是可以拦截的
好处是不需要靠主动防御，只要看云端的分析结果就可以判断程序是否为恶意，所以我感觉这个功能其实确实是很实用的

LiveGuard

2022 年 3 月 23 日，ESET Dynamic Threat Defense 更名为 ESET LiveGuard Advanced，ESET Dynamic Threat Defense就是ELG的前身，两着基本上算是同一个服务

工作方式
未被证实为恶意且可能携带恶意软件的可疑样本将被自动提交到 ESET 云，也就是LiveGrid信誉未知的程序或者文件。提交的样本将在沙箱中运行，并由ESET高级恶意软件检测引擎进行评估，说人话就是云检测。恶意样本或可疑垃圾电子邮件将提交到 ESET LiveGrid。电子邮件附件将单独进行处理，并需要提交到 ESET LiveGuard Advanced。管理员或用户可以定义要提交的文件范围以及文件在 ESET 云中的保留期限。默认情况下，不会提交具有活动内容（宏，javascript）的文档和 PDF 文件，当文件分析结束后，结果会通过微软 Azure 云传递到客户端，客户端会根据结果删除或取消阻止被分析的文件

全局数据库
ESET LiveGuard Advanced 使用两个 Azure 数据中心（美国和欧洲）来存储文件的哈希及其分析结果。数据中心为已分析的文件提供更快的结果。ESET 总部（位于斯洛伐克）存储所有提交的文件并执行分析。每位客户（公司）的数据单独存储在一个全局数据库中。ESET 将用户连接路由到最近的数据中心

ESET Cloud Office Security 和 ESET LiveGuard Advanced
ESET LiveGuard Advanced 通过在隔离环境中执行可疑代码来分析提交的文件，以评估其行为。ESET Cloud Office Security 会将来自 Microsoft Exchange Online、OneDrive、Teams 组和 SharePoint 站点的可疑电子邮件附件和文件提交给 ESET LiveGuard Advanced 进行分析。ESET Cloud Office Security 不需要数据，也不会将数据上传到 ESET 管理控制台。将在 ESET Cloud Office Security 中显示有关提交的文件及其结果的信息。

同时，注意产品官方文档中的语句，ELG仅支持扫描一下类型的文件

• 使用受支持的浏览器下载的文件（就是主流浏览器，Google，Opera，Firefox都可以）
• 从受支持邮件客户端下载的文件（主流的邮件客户端，MS Outlook肯定是支持的，其他的我还真不知道）
• 使用受支持的压缩文件实用程序之一从未加密或加密的压缩文件中提取的文件（7ZIP，WINRAR，Windows内置加压软件）
• 在可移动设备上执行和打开的文件
• 具有活动内容的文档和PDF不会被提交（比如带有宏的Office文档等）
  

然后再来说一下ELG的深层分析逻辑，真的很少有介绍这些的，官网上啥都没有

当样本满足上述条件，被发送到ESET LiveGuard Advanced时，威胁分析过程开始，威胁分析过程，在ESET的斯洛伐克总部的服务器进行，分析过程比较长，需要5分钟（大概）

    1.包括深度学习在内的多个机器学习模型，将样本与数百万已知恶意软件样本进行相似性比较。这部分就是进行一个病毒库检查，并没有进行任何分析

    2.系统在虚拟环境或沙盒中执行样本。它模拟用户行为以诱导恶意软件样本，并使用深度学习神经网络模型将样本行为与所有已知恶意软件样本的行为进行比较。这部分操作会使用机器学习和神经网络模型进行，听起来很高大上，但也的确比其他的云检测要强很多，毕竟有AI学习的成分在里面，在虚拟机沙盒里应该会分析病毒的进程，释放的文件等等

    3.使用ESET最新版本扫描引擎对所有内容进行拆解并分析异常情况

    4.最终结果基于所有可用技术计算并提供给客户，结果会通过微软 Azure 云传递到客户端，客户端会根据结果删除或取消阻止被分析的文件，然后入库或者云拉黑



   

tomochan

不看宣传，看疗效，实际疗效一般

SakuraLuo25

tomochan 发表于 2025-9-27 11:02
不看宣传，看疗效，实际疗效一般

我看很多测试里ELG感觉都挺猛的捏

多变的风向

tomochan 发表于 2025-9-27 11:02
不看宣传，看疗效，实际疗效一般

猛地一逼 而且误报极低

SakuraLuo25

多变的风向 发表于 2025-9-27 12:00
猛地一逼 而且误报极低

那可真是，我用过一段时间ESET，除了感觉ELG速度稍慢，几乎是一查一个准，基本上和卡巴斯基是一个级别的，不过2023年那会刚刚把这个技术下放到个人的时候好像确实是不咋地，但是现在已经很成熟了

每顿需吃三大碗

前两天已入坑ESET,window杀软让一些破解软件不能用

LSPD

SakuraLuo25 发表于 2025-9-27 12:36
那可真是，我用过一段时间ESET，除了感觉ELG速度稍慢，几乎是一查一个准，基本上和卡巴斯基是一个级别的 ...

还是有两个显著问题
1、查杀率不高，甚至是不少样本双击ams都能杀的情况ELG却熟视无睹
2、中国区不售卖ESSP，有钱想用都用不了，再加上价格偏贵

SakuraLuo25

LSPD 发表于 2025-9-27 15:12
还是有两个显著问题
1、查杀率不高，甚至是不少样本双击ams都能杀的情况ELG却熟视无睹
2、中国区不售卖 ...

所以我之前是直接试用白嫖的ESSP

hippo

LSPD 发表于 2025-9-27 15:12
还是有两个显著问题
1、查杀率不高，甚至是不少样本双击ams都能杀的情况ELG却熟视无睹
2、中国区不售卖 ...

二版国内不售卖ESSP，才是真的无语，不管贵还是便宜，作为国内最大的代{过}{滤}理商起码商城要有，现在想用都买不到，转投卡巴了标准版了，防护全面，价格更便宜，不折腾了

驭龙

不要以为LiveGurad仅仅是云沙箱分析，其中分为两大阶段四个部分：
第一阶段静态分析
第一部分是高级解压缩和扫描（也就是拆包），这里是实验中的引擎和特征，比ESET产品端的特征和引擎更激进。
第二部分是高级机器学习检测，这个也不是产品本地部署的Augur ML引擎。
第二阶段行为分析
第三部分是行为分析沙箱的实验室级别行为分析引擎模组，通过SandBox运行样本，通过实验室级别的引擎进行实时的样本行为监控。
第四部分是深度行为分析模组＋恶意行为操作链等信息的综合行为分析判定。

上述是不是听上去高大上？实际上吧，哪个云安全软件都有类似的机制，把云沙箱单独拉出来当高级产品的买点，也就ESET了，无论是卡巴的UDS，还是avast的CC，或者avira的APC，亦或者MD的MAPS都有这种云分析机制，而且免费版都有，是不是看看手里的ESSP瞬间不香了