楼主:
YuQilin (神兽)
2017-05-16 23:22:56http://bbs.kafan.cn/thread-2089134-1-1.html
原作者重新测试了WanaCrypt0r的一个变种,结果产生了一些变化,
测试条件和上一次的测试一样,
冻结防毒的版本和病毒数据库的日期为2016/12/12,
五个月前的旧版本,测试“当时”防毒的主防是否能防御WanaCrypt0r病毒.
以下节录原文重新测试的结果:
================
重测中成功防御的:
Kaspersky Internet Security(20161212):同样是加密后回滚成功
F-Secure Client Security(20161212):DG继续给力,在加密开始之前就拦截了
Cybereason RansomFree(20161231,v2.1.1.0):防御成功
Symantec Endpoint Protection(20161212):这次SEP成功B杀(启发杀),
算是有一个交代了
重测中在部分场景能够防御的:
HitManPro.Alert(3.6.1 Build 574):与原测试结果一致。
如果是桌面和我的文档都放置私人文件,则能够防御,不过还是会弹出勒索GUI和替换桌面背景
如果是只有桌面有私人文件,则防御失败,无弹窗。
重测中防御失败的:
BitDefender Free(20161212):这次是一声不吭被加密……
AVG Free(20161212):防御失败
==============
如果长期观察样本测试,会发现每一家的防毒都会有被过的时候,
换一个样本,测试的结果可能就有差异.
即使这次重测依然成功防御的防毒软件,
在其他样本也还是可以见到破功的例子.
即使这次重测结果防御失败的防毒软件,
也不代表它就无法应付未来的其他变种.
“短时间”的“单一”测试会有侷限性,
我们很难依此判断防毒对于整体未知威胁的防御效果.
即使我们使用了长期测试下来,成绩稳定优秀的防毒软件,
也还是不能保证能够100%防御推陈出新的变种病毒,
即使防御率高达99%,刚好中的就是那1%,
对于中毒的使用者来说,再高的防御率也没有意义.
最重要的还是使用者要具备资讯安全的观念,
不管是开启信件,文件,连结,应用都要随保持警觉,
最重要的是有重大的安全性漏洞一定要记得修补,
还有勤做备份,才能真正远离勒索病毒的威胁.
作者:
chiu0938 (啾-心情阴阴的)
2017-05-17 08:04:00以前对卡巴的印象是强到宁可错杀一百 不可纵放一个
作者:
munsimli (口嫌体正直)
2017-05-17 07:15:00在思考一个问题,BD、卡巴、诺顿、FS、Emsisoft与趋势的主防都很强大,但是都有无法防御的纪录,是否这时有档案回复机制的功能变得相对重要? 另卡巴的档案回复据说非常厉害,是否也仍有漏掉无法回复的纪录呢?
作者:
gwofeng (宫山洋行)
2017-05-16 23:30:00RansomFree是放档案陷阱式来对付勒索病毒那套吧
作者: modkk (魔德轲轲) 2017-05-16 23:32:00
正确观念推
作者:
gwofeng (宫山洋行)
2017-05-16 23:32:00不是有人测了说D槽不会保护,而且加密一些才吃到陷阱
作者:
abram (科科)
2017-05-16 23:40:00谢谢 刚刚把BD换成RansomFree了
作者:
abyz (妳们来吃烤鸡吧)
2017-05-16 23:47:00BD不晓得是怎么被过的 它的ATC不受断网影响吧以前用是这样 一阵子没用了 不知道现在还是不是这样
作者: shinkiro (Shinkiro) 2017-05-16 23:54:00
看来测一次不够,要测几次YA
作者:
chiu0938 (啾-心情阴阴的)
2017-05-16 23:54:00F-Secure不是BD的徒弟吗
作者:
gwofeng (宫山洋行)
2017-05-16 23:55:00F-Secure是芬兰的公司吧
作者:
abyz (妳们来吃烤鸡吧)
2017-05-17 00:08:00卡巴的rollback是一监控到可疑动作时就备份 发现是恶意行为立刻干掉并回复原来样子 不过system watcher模组是怎么判定
作者:
abyz (妳们来吃烤鸡吧)
2017-05-17 00:09:00哪些行为是可疑的来做备份无人知晓 只知道他们家的判定技术很威 少有误判或失手 战斗民族的机密@@
作者:
Radiomir (Radiomir)
2017-05-17 00:11:00主防强弱与吃资源与否成正相关, 如何取得平衡, 自己拿捏...
作者:
abyz (妳们来吃烤鸡吧)
2017-05-17 00:15:00F-Secure以前有OEM BD的引擎和病毒库(现在不知) 加上自己本身技术也不弱 叠加起来所以一直很强悍 但以前有吃资源问题
作者:
gwofeng (宫山洋行)
2017-05-17 00:17:00对吼,以前用过F-Secure不差,但就是多引擎技术超吃资源现在是效能过剩的时代应该没差了
作者:
sdbb (帮我泡杯卡布奇诺)
2017-05-17 00:33:00f-secure以前也用过卡巴的引擎
作者:
abyz (妳们来吃烤鸡吧)
2017-05-17 00:35:00其实现在几间大厂的主防、启发式侦测...等都朝轻量化在开发有多引擎多病毒库的 融合的技术也都慢慢成熟 所以并没想像中的吃资源了 连我家里1.5Gram的XP旧机跑都不会很顿很顿了硬件效能过剩的时代 为安全起见 牺牲一点点效能装这些是必要d大 卡巴应该是发现有可疑动作就做备份了 才能发现是malware时一面干掉一面rollback原备份 假如卡巴失手开始加密才动作那战斗民族再猛也不可能解RSA-2048还原原档只不过他们是怎么判断发现可疑动作怎么备份 到底是用了什么黑科技 能少有loss或误判做白工 国内外很多人都想知道 @@a
作者:
barlin (barlinckamc)
2017-05-17 01:44:00能知道就可以出个防毒软件对抗卡巴了XD
说实在现在浏览器很多分页开多一点就比卡巴还吃资源了
作者:
TWeng (TWenG)
2017-05-17 02:56:00不知道为什么我用卡巴会蓝画面,就改用BD了
作者:
abyz (妳们来吃烤鸡吧)
2017-05-17 04:29:00卡巴的特点是很强大 但小bug不少 尤其新版刚出时 总会出现些让人意想不到或无言的bug 通常等几个fix版后再装会比较稳卡巴充分反映出俄罗斯人的习性 威猛但粗犷
作者:
MVagusta (Dragster RR)
2017-05-17 15:38:00不管哪家防毒用病毒码或档案回复都会有失误 断网连网效果也不同 所以才要多种防护 像卡巴和趋势有资料保护 趋势可以设定保护资料夹(叫做勒索克星...)来挡不安全的程式改里头的档案
作者:
gwofeng (宫山洋行)
2017-05-17 15:50:00趋势的保护资料夹功能,当病毒动到该资料夹,会中断病毒加密行为,并可终止病毒程式的常驻,但缺点就只能设一个资料夹来保护,希望改版后能设定复数资料夹
作者:
fatstan (DPJ)
2017-05-17 21:27:00原本的结果是趋势有提示通知但还是被加密了吧