作者YuQilin (神兽)
看板AntiVirus
标题Re: [情报] WanaCrypt0r勒索病毒:19款防毒主防测试
时间Sun May 14 20:47:50 2017
比特前一阵子被Cerber的变种虐得不要不要的,
当时每隔几天就出一个变种,每一个变种都过比特的预设主防.
主防调到最高可以挡住几个变种,但是有些变种即使挡住,
还是有部分档案被加密,比特的主防没有回滚,
不能复原这些档案.
当时弄得很多人对比特都失去信心了.
这个测试的作者也承认测试有局限性,
有些防毒的主防是和云端连动的,例如sonar,
断网等於主防就废了,所以根本测不出这种主防的能力,
可是不断网测又没办法单独测主防,
所以无奈之下只好这样测,但是这样测试的结果就不一定能反应真实的情况.
而且防毒的防护能力不是只有主防,而是一个整体,
例如这次的wannacry是由port445利用SMB的漏洞入侵进来的,
没有SMB的漏洞入侵就没有後续的感染,
有些防毒的防火墙预设就阻挡外网的445连入,
有些防毒有入侵预防,早就有SMB漏洞入侵的特徵库,
即使作业统没有打补丁,入侵预防/防火墙也能先一步阻挡.
所以即使後面的主防没能测出来,也一点都不重要,
因为真实使用情况,wannacry根本无法主动进来.
有的防毒虽然预设没有防火墙阻挡,但是有很强大的云端监识,
虽然是未见过的病毒,但是可以由云端评估先行判断阻挡.
有些防毒就算防火墙都关了,而且云端监识不突出,
病毒库更新速度更是缓慢,别人都入库十几天了防毒还是扫不出来,
即使看起来这麽恐怖,wannacry还是无法破坏这个系统,
因为这个防毒有强大的自动沙盒系统,
而且别人家不能防的,
这个测起来最差的防毒运用自动沙盒还通通都能防,
几乎不会失守.
这个测试可以告诉我们,在半年前的时候,
各家主防对於wannacry的主动防御成果,
但这是半年前的结果,经过了半年,各家主防更新以後结果是否再有变化,
我们不得而知,而且有些主防断网後完全无法测试出实力,
所以这些主防到底能不能拦下,我们也不得而知.
我并不是要说比特不好,事实上比特是最好的几个防毒之一,
真的是最好的选择之一,这篇回文的主要目的是要厘清测试的局限性,
理解和如何运用从这个测试中获得的资讯.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.36.56
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1494766072.A.730.html
2F:→ gwofeng: 上面是自动回文机器人了吧 05/14 20:51
3F:→ gwofeng: 一直贴很妨碍阅读耶 05/14 20:52
4F:推 fcshden: 推 05/14 20:52
5F:推 winddriver: 借文问一下 win7关掉SMB之後 还有需要关掉445吗 05/14 20:54
6F:→ gwofeng: 其实卡巴也是对Cerber猛变种没辙 05/14 20:55
7F:→ sa12e3: 此风不可长 速速解毒重要 希望大家不要因此烦恼>< 05/14 20:59
8F:嘘 xiaoyao: 讲那麽多 05/14 20:59
9F:→ shyangs: 你用哪一款 05/14 20:59
10F:→ xiaoyao: 跟防火墙阻挡445 Port无关吧 05/14 21:00
11F:→ xiaoyao: 原测试是直接运行样本,不是用漏洞系统让Port445 开给勒 05/14 21:02
12F:→ xiaoyao: 索溜进来 05/14 21:02
13F:→ gwofeng: 这只毒就是445Port进来的 05/14 21:02
14F:→ smtp: 没中过毒的软体就一直用下去,应该探讨有装的情况哪些还中招. 05/14 21:03
15F:→ smtp: 我7年多前装Avira, 中了别只病毒, 之後换Avast就没再中过毒. 05/14 21:04
16F:推 xiaoyao: 我知道是Port445,问题是中国网友是拿样本运行 05/14 21:04
17F:→ xiaoyao: 你要不要看清楚XD 05/14 21:05
18F:→ gwofeng: 他意思是实际上有防火墙的防毒,可能就直接挡门外了 05/14 21:06
19F:推 iWRZ: 没装防毒软体的路过 05/14 21:06
20F:→ gwofeng: 用不到主防 05/14 21:06
21F:→ Shissoufubi: 原PO是在讲跟实际情况的差异,你没看懂原PO的意思吧? 05/14 21:06
22F:推 xiaoyao: 虚拟机+断网 是要怎麽靠防火墙 挡......都没网路了耶XDD 05/14 21:08
23F:→ YuQilin: @xiaoyao 你可能看太快没有看清楚我的意思 05/14 21:20
24F:→ YuQilin: 我知道作者是直接拿sample测试的 05/14 21:20
25F:→ YuQilin: 我的意思是防毒是一个整体 能抵御病毒的不是只有主防 05/14 21:21
26F:→ YuQilin: 有些防毒主防弱但靠其他防御方法仍然可以档下病毒 05/14 21:21
27F:→ YuQilin: 这个测试的重点只在主防 而且有些主防断网下无法测 05/14 21:21
28F:→ YuQilin: 所以测试有局限性 不是代表「真实的使用情况」 05/14 21:21
29F:→ YuQilin: 研究防毒的人从这个测试可以得知半年前「部分」主防 05/14 21:21
30F:→ YuQilin: 对於wannacry的防御效果 05/14 21:21
31F:→ YuQilin: 但是一般人无法运用这个测试来判断 05/14 21:22
32F:→ YuQilin: 这些防毒究竟能不能档下未知的病毒 并以此来选择防毒 05/14 21:22
33F:推 xiaoyao: 本来就无法面面俱到 05/14 21:22
34F:→ YuQilin: 测试有局限性 我想说的重点是这个 05/14 21:22
35F:推 peatle: 可是很多人是用基本防毒没有带防火墙的耶 05/14 21:22
36F:→ xiaoyao: 断网+旧病毒码 已经很严苛测试了 05/14 21:24
37F:推 HowLeeHi: 这篇要讲的是不能只单靠有没有侦测到病毒来判断防毒能力 05/14 21:24
38F:→ HowLeeHi: 有些AV虽然没有pattern,但是用其它方法一样保护系统安全 05/14 21:25
39F:推 xiaoyao: 原测试就是在讲不用病毒码 也能靠行为分析启发拦截 05/14 21:26
40F:→ xiaoyao: BD 卡巴 F-Secure 断网都能拦了,连网更新病毒码更能抵 05/14 21:29
41F:→ xiaoyao: 御更多恶意病毒,不是吗? 05/14 21:29
42F:→ YuQilin: 我知道 测试本来就不能面面俱到 05/14 21:31
43F:→ YuQilin: 我不是在贬抑这个测试的价值 05/14 21:31
44F:→ YuQilin: 这个测试对我来说非常的有趣 没有人花时间去测 05/14 21:31
45F:→ YuQilin: 我根本不会知道半年前主防对於wannacry的行为 05/14 21:31
46F:→ YuQilin: 会做出怎麽样的判断 我想说的只是 05/14 21:32
47F:→ YuQilin: 测试有局限性 有适用的范围 不一定能反应真实情况 05/14 21:32
48F:→ YuQilin: 一般人不能看了少数的测试 就以此判断防毒的防御效果 05/14 21:32
49F:推 xiaoyao: BD 卡巴 已经是AV 测试多年常胜军了耶 05/14 21:34
50F:→ xiaoyao: 少数测试?科科 ...多去卡饭论坛逛逛吧XDD 05/14 21:35
51F:推 xiaoyao: 板上很多测试文章,甚至是专业评测机构...... 05/14 21:38
52F:推 xiaoyao: 我怎麽没看到你出来反应:无法反应真实情况呢? 05/14 21:40
我觉得你真的是误解我的意思了
我本文里都写了「BD绝对是最好的防毒之一」
你以为我是在说客套话吗XD 真的就是最好的啊
虽然我举了BD前阵子被Cerber变种过的例子
但那是在举反面的例子 要说明任何防毒都有被过的时候
如果长时间观察样本测试 会发现不论再强的防毒
都会有失守的时候 所以我们不能仅从一个二个的单一测试
或者是少数几个测试 就结论真实世界里
防毒对未知威胁的防御能力
尤其是当测试有很大的局限性的时候
即使是各家机构的测试 短时间的成绩也经常有变动
又例如因为测试方法的因素 comodo在图表上的成绩看起来都不太好
但真实情况却可以抵御大多数病毒
如果只看图表而没有阅读测试说明 会误以为comodo无法很好的防御病毒
所以我想说明的是这篇测试的局限性
以及要如何看待和运用这篇测试的结果
你可能误会我是在否定测试里防御成功的BD、卡巴这些防毒
所以没有看清楚我本文里所想表达的意思
53F:嘘 f59952: 1F ... 05/14 21:52
54F:→ f59952: 你好歹发个文说明啊 只贴网址跟散布的人有啥差别 05/14 21:55
55F:推 nk950357: 不是阿我说 人家开头就写说测试主防了 05/14 21:59
※ 编辑: YuQilin (61.219.36.56), 05/14/2017 22:02:31
56F:嘘 xiaoyao: 人家说测试主防了,你在那边扯防火墙 05/14 22:05
57F:→ xiaoyao: 断网测试 是跟 防火墙挡 wannacry 入侵Port445 有何关? 05/14 22:07
58F:推 smtp: 秀才遇到兵, 辛苦原po了, 无视就好...XD 05/14 22:10
59F:推 xiaoyao: 有效文章一篇......嗯嗯 算我浪费时间 05/14 22:10
60F:推 xiaoyao: 某人快移除Avast 改装BD哦...嘻嘻 05/14 22:14
61F:→ Azrael: 呃,原po一直都知道这是在测试主防吧= = 05/14 22:15
62F:→ gwofeng: 嘻嘻嘻嘻嘻嘻 金价欢纳尼 05/14 22:16
64F:→ xiaoyao: 科科呢XD 05/14 22:20
65F:推 gwofeng: 科科耶 你怎不问版主当天怎没删我文去检举阿 05/14 22:21
66F:→ Azrael: 都提到卡饭了,怎不提提AV-C真实世界测试和3月的恶意软体 05/14 22:21
67F:→ Azrael: 测试呢 05/14 22:21
68F:推 xiaoyao: 这麽有水准的文章,怎麽敢检举呢?科科 05/14 22:22
69F:→ smtp: 等我Avast中毒再换BD,目前用7年没中过,免费+不吃资源. 05/14 22:23
70F:→ xiaoyao: 推 xiaoyao: 板上很多测试文章,甚至是专业评测机构.... 05/14 22:23
71F:→ xiaoyao: ..有啊,怎麽没有,要每家点名吗? 05/14 22:23
72F:推 gwofeng: 当天防毒版是什麽情况 八卦板来的科科怎可能知道呢科科 05/14 22:24
73F:→ xiaoyao: 我的电脑中了BBS病毒了XDDDD 05/14 22:25
74F:→ xiaoyao: 勒索病毒输惨惨 05/14 22:26
75F:→ smtp: 我挑防毒先考虑免费,其次不吃资源,然後有效,Avast都符合 05/14 22:29
76F:推 pop0311: Avast好用+1,本来也有考虑加装bitdefend,但要装一定要 05/14 22:33
77F:→ gwofeng: #19qkqVia 当天本版还放卡卡兽出来恶搞 05/14 22:33
78F:→ pop0311: 移除Avast,而且试用期只有30天,所以还是用avast好了 05/14 22:33
79F:→ gwofeng: 又不是有病整天科科嘻嘻又XDDD 看不懂文章算了还一堆毛 05/14 22:34
80F:推 xiaoyao: 原来是八卦板来的啊XDD Google能力有待加强。 05/14 22:39
81F:推 miamodo: 只是1个样本. 05/14 22:57
82F:→ gowaa: 我比较希望各版友好好测试跟推荐 而不是那战来战去 05/14 23:01
83F:→ gowaa: 虽然基本上 本就没有绝对安全的系统与防毒 只能勤备分0rz 05/14 23:01
84F:推 purplvampire: 别小看avast,他也是都送测Free版跟BD,KS拚前三的 05/14 23:07
85F:→ purplvampire: 我在公司就是布署avast business free,它让我很安心 05/14 23:08
86F:→ smtp: 本来就是备份为王, 只是每次备份间会有数周的空窗期... 05/14 23:09
87F:→ purplvampire: BD企业版也试用过,跟KS一样能力强大但太吃资源,公司 05/14 23:09
88F:→ smtp: 不重要的我间隔2~3个月, 重要的我用即时云端同步... 05/14 23:12
89F:→ purplvampire: 的电脑没一台吃得下中等程度以上的防护,用avast即可 05/14 23:12
90F:→ purplvampire: 防御工事是整体的概念,没什麽才是王道,我的电脑没外 05/14 23:13
91F:→ purplvampire: 接硬碟备份,靠系统更新,内建防毒,区隔系统与资料碟 05/14 23:15
92F:→ purplvampire: 再配上免费FW+防勒索一样活得好好的,合理配置才重要 05/14 23:16
93F:→ gwofeng: 就算病毒不来,硬碟也有机率老化故障,备份才算留有後路 05/14 23:19
94F:推 purplvampire: 没错,是後路,所以我真的该买台NAS来备份才对,哈哈 05/14 23:29
95F:推 boygene: BD 不是也有free 版?跟 avast 比选哪个好? 05/15 00:47
96F:推 jeffin: 这篇文说得清楚啊~~~很认同 05/15 03:12
98F:推 LonyIce: 推 05/15 04:10
99F:推 Scutum: 不错的观点 05/15 16:54
100F:推 dupd8017: 推 05/16 01:46