个人对于主防测试的一点看法，每天100%意义不大，建议提高计入成功拦截的条件。

显示全部楼层 · 发表于 2011-5-8 22:20:50

本帖最后由 jefffire 于 2011-5-8 22:24 编辑

镜湖发表于 2011-5-8 19:28
楼主还忽略了一个事实：假设样本包里有50个样本，除非毒组发声明剔除某几个样本，否则大家的测试都是以50个 ...

你在卡饭测试组都挂了号的出名了。毒组成员对你的“长期混入非马非毒样本”可是记忆犹新，正准备请您老来当毒组组长，避免“非马非毒样本”混入。

http://bbs.kafan.cn/forum-redirect-goto-findpost-ptid-926558-pid-18078123.html

显示全部楼层 · 发表于 2011-5-8 22:22:48

本帖最后由 jefffire 于 2011-5-8 22:28 编辑

绿茵守望者发表于 2011-5-8 18:48
某云主防几乎每天都是100%，但是我认为这个测试结果有一定的误导倾向。
如果弹个窗口说这个文件不在“白名 ...

卡巴默认没敢开HIPS，瑞星默认没敢开内核加固，金山的未知入沙也是没敢开。所以你的这些拦截率都只存在理论上，而实际上几乎不存在。某云主防确是实实在在的默认，保护广大用户。
回归本质，我们测试防御的目的是什么？？显然是为了客观的体现一个软件在实际中的情况。测试需要贴近实际情况，因此使用默认设置是测试的本质要求所决定的。实际的真实情况是不可能真正知道的，所以才要测试。当然除了设置之外，决定测试可靠性的因素还很多，因此不是光凭默认设置就能确保可靠了，但是不使用默认设置却肯定是不可靠不贴近实际的。

显示全部楼层 · 发表于 2011-5-8 22:32:50

本帖最后由绿茵守望者于 2011-5-8 22:33 编辑

回复 32楼 jefffire 的帖子

卡巴和瑞星默认都开了，只不过没开全，不过实际上也有不少人把它开全了毒霸的未知入沙也有很多人开因此也不能说只存在在理论上现实中也是存在的，你的意思是不是小白都不会去开这些？确实，小白确实不会去设置这些东西，但是HIPS拦截报未知文件小白也不会去判断啊，会判断的也知道如何使用瑞星卡巴之流，看看人家瑞星微点之类的直接报未知病毒就实在多了简单多了不用用户判断这才叫真正的成功拦截嘛。

显示全部楼层 · 发表于 2011-5-8 22:40:56

本帖最后由媚_妩于 2011-5-8 23:05 编辑

其实是否100%不太重要，重要的是中了病毒却无法自我保护，这是个问题。

显示全部楼层 · 发表于 2011-5-8 22:47:16

本帖最后由 jefffire 于 2011-5-8 23:00 编辑

绿茵守望者发表于 2011-5-8 22:32
回复 32楼 jefffire 的帖子

卡巴和瑞星默认都开了，只不过没开全，不过实际上也有不少人把它开全了毒霸的 ...

卡巴默认自动模式，几乎就是什么都不拦截，当然PDM还是会报的。瑞星没试过，不过应该比卡巴好一些。

会想到设置一下杀毒的就表明已经不是纯粹的小白了，而会开启HIPS之类的，那肯定就不是小白了。这已经脱离了大多数情况。你的思路要改一改。如果你是小白，你肯定不会用那些非常偏门的软件更不可能自己去写软件，因此一般情况下压根就不会有弹窗出现。因此一旦弹窗，病毒的概率就很大，误拦截的概率就很低。进一步，小白面对不明确的弹窗肯定不懂，但看到危险提示肯定会点确定，再不济点叉，但是这两种情况都是默认阻止，因此就算看不懂也不会不拦截。

能够直接报病毒木马自然非常好，但是你要考虑到对抗的情况。目前单步拦截都有漏洞可钻，都有监控不全面的地方（具体参见几个过主防的帖子），遑论智能化了。用户这么多，免杀如此多，想不要被过的稀里哗啦被搞木马的人当成浮云，这也是采取规则能够很快更新的云主防的原因。其效果也是明显的，至少你去各大免杀论坛，不是随便一个Script Boy就能过的。而规则需要总结，架构关联很大的智能型主防却不是这么容易更新修补的，所以我一直认为行为采集放在云端才是王道，能很好避免对抗。

你应该懂，不管什么主防，想要不被过的太难看就要不断的维护不断的修补漏洞，而某云主防正是做到了凡是公开的漏洞很快就和谐，这也正是所谓的100%拦截的一个必要条件。而这正是很多厂商没做到的。

显示全部楼层 · 发表于 2011-5-8 23:03:30

本帖最后由镜湖于 2011-5-9 22:26 编辑

jefffire 发表于 2011-5-8 22:20
你在卡饭测试组都挂了号的出名了。毒组成员对你的“长期混入非马非毒样本”可是记忆犹新，正准备请您老来 ...

毒组哪些**真知道自己收集的样本时啥东西吗？捡到篮子里就是菜，现在他们依然如故。

我还要建议其他区的测试人员向360区的数字党学习，觉得没害的样本踢出去，大家都能100%，皆大欢喜。

你这位大名鼎鼎的数字党觉得怎样？

显示全部楼层 · 发表于 2011-5-8 23:22:55

本帖最后由 jefffire 于 2011-5-9 10:36 编辑

镜湖发表于 2011-5-8 23:03
毒组哪些脑残真知道自己收集的样本时啥东西吗？捡到篮子里就是菜，现在他们依然如故。

我还要建议其他 ...

内容
恩很好反正毒组都是XX,就有请您老成立个饭卡论坛搞个高质量的测试吧

您老另外一个建议更好，反正都是非毒非马样本.以后就以微点为标准凡是不拦截的都是非毒非马通通剔除,妙哉妙哉

显示全部楼层 · 发表于 2011-5-8 23:55:57

这个只要弹窗就算拦截，瑞星的也能做到100%

显示全部楼层 · 发表于 2011-5-9 00:02:04

本帖最后由 kmelon 于 2011-5-9 00:06 编辑

楼主啊，不要想当然的某主防怎么怎么了，不然做梦都在喊
你叫卡巴瑞星也弄成天天100%试试，他们的误报上升1000%！

显示全部楼层 · 发表于 2011-5-9 00:45:25

这个严重支持
看看微点是怎么报警的
如果光一个程序有某个动作就做提示.那HIPS就能达到100%
何必去弄什么杀软!
现在讲的是智能安静

[讨论] 个人对于主防测试的一点看法，每天100%意义不大，建议提高计入成功拦截的条件。

评分

标题