【討論】對抗新威脅的各種萬靈丹?其實不然...

[harry_chang2003]

引用:

作者: 阿一

測完再發上來給大家知道
我最近比較忙,忙著收集樣本

要做一個20款防毒軟體的偵測率測試
如果有找到樣本可以跟我說一聲

你是要測試哪一部份的?
病毒特徵,啟發是,免疫防護

[harry_chang2003]

引用:

作者: harry_chang2003

這篇文章基本上我都同意esjustin 的看法,PCC2007的規則確實不夠多
而卡巴斯基確實比較專業

我只有一點要糾正esjustin

趨勢科技其實也會詳細的介紹惡意軟體的詳細資訊

就在我上面框起來的"詳細資料"案下去就有了
假如只有發現可疑的變更,那就案"管理變更"裡面也有詳細的資訊供使用者判斷


還有這次趨勢科技的免疫防護內大概有跟反間諜精靈結合
像發現可疑變更那都是反間諜的反應
發現未知軟體那個才是行為判斷

忘了補充一點,有時後再測樣本時只有反間諜的那個可疑變更有反應,行為判斷並沒有,但還是可以成功攔截

[ㄚ一]

引用:

作者: harry_chang2003

你是要測試哪一部份的?
病毒特徵,啟發是,免疫防護

我不是說了是測偵測率啊...

啟發的部份會另外測關閉與開啟
我另外還會加入一定數量的正常程序
順便測誤報的頻率高低

其實我這邊已經有有一個初步的測試結果了
不過我認為目前還不適合發表

[harry_chang2003]

引用:

作者: 阿一

我不是說了是測偵測率啊...

啟發的部份會另外測關閉與開啟
我另外還會加入一定數量的正常程序
順便測誤報的頻率高低

其實我這邊已經有有一個初步的測試結果了
不過我認為目前還不適合發表

會不會測試日期越拖越久,後來有防毒公司發現此病毒後納入病毒特徵阿?

[ㄚ一]

引用:

作者: harry_chang2003

會不會測試日期越拖越久,後來有防毒公司發現此病毒後納入病毒特徵阿?

加入的都是"已知"威脅
查得到是很正常的事情

納入就納入因為不可能每一間都這麼剛好把我手中的樣本全部納入
更何控我自己的樣本也會持續更新增加中
不會把它放到變化石然後一整年都用這個包來測

[hn1271n]

引用:

作者: 一

問題在於nod32對於特徵碼的更新並不勤
一旦啟發式沒有察覺,幾乎可以宣告"重獎"...
kav雖然幾乎沒什麼啟發式可言,但它還有hips做後盾

nod32的啟發雖然目前來說仍然還是屬一屬二
但跟kav的hips相比漏的毒實在是太多了...
找一個逃得過kav行為判斷的病毒並不太容易
但找個讓nod32啟發不報的卻相對簡單很多...

行為判斷已經是個未來趨勢
事實證明,現在很多流行病毒僅以啟發式來緝毒是不夠的..
這也是為什麼這麼多防毒軟體都會加上行為判斷這個功能

我並不是說NOD32萬能,只是認為卡巴斯基應該向NOD32學習強化反欺騙能力技術才行,現在網路流傳著:過卡巴,加花;過NOD32,加殼可不是空穴來風的說法

[ㄚ一]

引用:

作者: hn1271n

我並不是說NOD32萬能,只是認為卡巴斯基應該向NOD32學習強化反欺騙能力技術才行,現在網路流傳著:過卡巴,加花;過NOD32,加殼可不是空穴來風的說法

你說的這些現在幾乎所有防毒軟體都有這能力
差別只是在於強弱上的分別

AVP引擎在解殼的能力上僅次於DR.WEB
雖然偵測不到的也不少,但是你多方去比較
AVP引擎跟DR.WEB均是優於NOD32的...

[esjustin]

引用:

作者: 阿一

你說的這些現在幾乎所有防毒軟體都有這能力
差別只是在於強弱上的分別

AVP引擎在解殼的能力上僅次於DR.WEB
雖然偵測不到的也不少,但是你多方去比較
AVP引擎跟DR.WEB均是優於NOD32的...

Dr.Web的誤報率似乎很高 ...

[ㄚ一]

引用:

作者: esjustin

Dr.Web的誤報率似乎很高 ...

啟發跟解殼能力是兩回事

[esjustin]

引用:

作者: 阿一

啟發跟解殼能力是兩回事

Dr.Web能解的殼到底有多少??...