作者YuQilin (神獸)
看板AntiVirus
標題Re: [情報] WanaCrypt0r勒索病毒:19款防毒主防測試
時間Sun May 14 20:47:50 2017
比特前一陣子被Cerber的變種虐得不要不要的,
當時每隔幾天就出一個變種,每一個變種都過比特的預設主防.
主防調到最高可以擋住幾個變種,但是有些變種即使擋住,
還是有部分檔案被加密,比特的主防沒有回滾,
不能復原這些檔案.
當時弄得很多人對比特都失去信心了.
這個測試的作者也承認測試有侷限性,
有些防毒的主防是和雲端連動的,例如sonar,
斷網等於主防就廢了,所以根本測不出這種主防的能力,
可是不斷網測又沒辦法單獨測主防,
所以無奈之下只好這樣測,但是這樣測試的結果就不一定能反應真實的情況.
而且防毒的防護能力不是只有主防,而是一個整體,
例如這次的wannacry是由port445利用SMB的漏洞入侵進來的,
沒有SMB的漏洞入侵就沒有後續的感染,
有些防毒的防火牆預設就阻擋外網的445連入,
有些防毒有入侵預防,早就有SMB漏洞入侵的特徵庫,
即使作業統沒有打補丁,入侵預防/防火牆也能先一步阻擋.
所以即使後面的主防沒能測出來,也一點都不重要,
因為真實使用情況,wannacry根本無法主動進來.
有的防毒雖然預設沒有防火牆阻擋,但是有很強大的雲端鑑識,
雖然是未見過的病毒,但是可以由雲端評估先行判斷阻擋.
有些防毒就算防火牆都關了,而且雲端鑑識不突出,
病毒庫更新速度更是緩慢,別人都入庫十幾天了防毒還是掃不出來,
即使看起來這麼恐怖,wannacry還是無法破壞這個系統,
因為這個防毒有強大的自動沙盒系統,
而且別人家不能防的,
這個測起來最差的防毒運用自動沙盒還通通都能防,
幾乎不會失守.
這個測試可以告訴我們,在半年前的時候,
各家主防對於wannacry的主動防禦成果,
但這是半年前的結果,經過了半年,各家主防更新以後結果是否再有變化,
我們不得而知,而且有些主防斷網後完全無法測試出實力,
所以這些主防到底能不能攔下,我們也不得而知.
我並不是要說比特不好,事實上比特是最好的幾個防毒之一,
真的是最好的選擇之一,這篇回文的主要目的是要釐清測試的侷限性,
理解和如何運用從這個測試中獲得的資訊.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.56
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494766072.A.730.html
2F:→ gwofeng: 上面是自動回文機器人了吧 05/14 20:51
3F:→ gwofeng: 一直貼很妨礙閱讀耶 05/14 20:52
4F:推 fcshden: 推 05/14 20:52
5F:推 winddriver: 借文問一下 win7關掉SMB之後 還有需要關掉445嗎 05/14 20:54
6F:→ gwofeng: 其實卡巴也是對Cerber猛變種沒轍 05/14 20:55
7F:→ sa12e3: 此風不可長 速速解毒重要 希望大家不要因此煩惱>< 05/14 20:59
8F:噓 xiaoyao: 講那麼多 05/14 20:59
9F:→ shyangs: 你用哪一款 05/14 20:59
10F:→ xiaoyao: 跟防火牆阻擋445 Port無關吧 05/14 21:00
11F:→ xiaoyao: 原測試是直接運行樣本,不是用漏洞系統讓Port445 開給勒 05/14 21:02
12F:→ xiaoyao: 索溜進來 05/14 21:02
13F:→ gwofeng: 這隻毒就是445Port進來的 05/14 21:02
14F:→ smtp: 沒中過毒的軟體就一直用下去,應該探討有裝的情況哪些還中招. 05/14 21:03
15F:→ smtp: 我7年多前裝Avira, 中了別隻病毒, 之後換Avast就沒再中過毒. 05/14 21:04
16F:推 xiaoyao: 我知道是Port445,問題是中國網友是拿樣本運行 05/14 21:04
17F:→ xiaoyao: 你要不要看清楚XD 05/14 21:05
18F:→ gwofeng: 他意思是實際上有防火牆的防毒,可能就直接擋門外了 05/14 21:06
19F:推 iWRZ: 沒裝防毒軟體的路過 05/14 21:06
20F:→ gwofeng: 用不到主防 05/14 21:06
21F:→ Shissoufubi: 原PO是在講跟實際情況的差異,你沒看懂原PO的意思吧? 05/14 21:06
22F:推 xiaoyao: 虛擬機+斷網 是要怎麼靠防火牆 擋......都沒網路了耶XDD 05/14 21:08
23F:→ YuQilin: @xiaoyao 你可能看太快沒有看清楚我的意思 05/14 21:20
24F:→ YuQilin: 我知道作者是直接拿sample測試的 05/14 21:20
25F:→ YuQilin: 我的意思是防毒是一個整體 能抵禦病毒的不是只有主防 05/14 21:21
26F:→ YuQilin: 有些防毒主防弱但靠其他防禦方法仍然可以檔下病毒 05/14 21:21
27F:→ YuQilin: 這個測試的重點只在主防 而且有些主防斷網下無法測 05/14 21:21
28F:→ YuQilin: 所以測試有侷限性 不是代表「真實的使用情況」 05/14 21:21
29F:→ YuQilin: 研究防毒的人從這個測試可以得知半年前「部分」主防 05/14 21:21
30F:→ YuQilin: 對於wannacry的防禦效果 05/14 21:21
31F:→ YuQilin: 但是一般人無法運用這個測試來判斷 05/14 21:22
32F:→ YuQilin: 這些防毒究竟能不能檔下未知的病毒 並以此來選擇防毒 05/14 21:22
33F:推 xiaoyao: 本來就無法面面俱到 05/14 21:22
34F:→ YuQilin: 測試有侷限性 我想說的重點是這個 05/14 21:22
35F:推 peatle: 可是很多人是用基本防毒沒有帶防火牆的耶 05/14 21:22
36F:→ xiaoyao: 斷網+舊病毒碼 已經很嚴苛測試了 05/14 21:24
37F:推 HowLeeHi: 這篇要講的是不能只單靠有沒有偵測到病毒來判斷防毒能力 05/14 21:24
38F:→ HowLeeHi: 有些AV雖然沒有pattern,但是用其它方法一樣保護系統安全 05/14 21:25
39F:推 xiaoyao: 原測試就是在講不用病毒碼 也能靠行為分析啟發攔截 05/14 21:26
40F:→ xiaoyao: BD 卡巴 F-Secure 斷網都能攔了,連網更新病毒碼更能抵 05/14 21:29
41F:→ xiaoyao: 禦更多惡意病毒,不是嗎? 05/14 21:29
42F:→ YuQilin: 我知道 測試本來就不能面面俱到 05/14 21:31
43F:→ YuQilin: 我不是在貶抑這個測試的價值 05/14 21:31
44F:→ YuQilin: 這個測試對我來說非常的有趣 沒有人花時間去測 05/14 21:31
45F:→ YuQilin: 我根本不會知道半年前主防對於wannacry的行為 05/14 21:31
46F:→ YuQilin: 會做出怎麼樣的判斷 我想說的只是 05/14 21:32
47F:→ YuQilin: 測試有侷限性 有適用的範圍 不一定能反應真實情況 05/14 21:32
48F:→ YuQilin: 一般人不能看了少數的測試 就以此判斷防毒的防禦效果 05/14 21:32
49F:推 xiaoyao: BD 卡巴 已經是AV 測試多年常勝軍了耶 05/14 21:34
50F:→ xiaoyao: 少數測試?科科 ...多去卡飯論壇逛逛吧XDD 05/14 21:35
51F:推 xiaoyao: 板上很多測試文章,甚至是專業評測機構...... 05/14 21:38
52F:推 xiaoyao: 我怎麼沒看到你出來反應:無法反應真實情況呢? 05/14 21:40
我覺得你真的是誤解我的意思了
我本文裡都寫了「BD絕對是最好的防毒之一」
你以為我是在說客套話嗎XD 真的就是最好的啊
雖然我舉了BD前陣子被Cerber變種過的例子
但那是在舉反面的例子 要說明任何防毒都有被過的時候
如果長時間觀察樣本測試 會發現不論再強的防毒
都會有失守的時候 所以我們不能僅從一個二個的單一測試
或者是少數幾個測試 就結論真實世界裡
防毒對未知威脅的防禦能力
尤其是當測試有很大的侷限性的時候
即使是各家機構的測試 短時間的成績也經常有變動
又例如因為測試方法的因素 comodo在圖表上的成績看起來都不太好
但真實情況卻可以抵禦大多數病毒
如果只看圖表而沒有閱讀測試說明 會誤以為comodo無法很好的防禦病毒
所以我想說明的是這篇測試的侷限性
以及要如何看待和運用這篇測試的結果
你可能誤會我是在否定測試裡防禦成功的BD、卡巴這些防毒
所以沒有看清楚我本文裡所想表達的意思
53F:噓 f59952: 1F ... 05/14 21:52
54F:→ f59952: 你好歹發個文說明啊 只貼網址跟散佈的人有啥差別 05/14 21:55
55F:推 nk950357: 不是阿我說 人家開頭就寫說測試主防了 05/14 21:59
※ 編輯: YuQilin (61.219.36.56), 05/14/2017 22:02:31
56F:噓 xiaoyao: 人家說測試主防了,你在那邊扯防火牆 05/14 22:05
57F:→ xiaoyao: 斷網測試 是跟 防火牆擋 wannacry 入侵Port445 有何關? 05/14 22:07
58F:推 smtp: 秀才遇到兵, 辛苦原po了, 無視就好...XD 05/14 22:10
59F:推 xiaoyao: 有效文章一篇......嗯嗯 算我浪費時間 05/14 22:10
60F:推 xiaoyao: 某人快移除Avast 改裝BD哦...嘻嘻 05/14 22:14
61F:→ Azrael: 呃,原po一直都知道這是在測試主防吧= = 05/14 22:15
62F:→ gwofeng: 嘻嘻嘻嘻嘻嘻 金價歡納尼 05/14 22:16
64F:→ xiaoyao: 科科呢XD 05/14 22:20
65F:推 gwofeng: 科科耶 你怎不問版主當天怎沒刪我文去檢舉阿 05/14 22:21
66F:→ Azrael: 都提到卡飯了,怎不提提AV-C真實世界測試和3月的惡意軟體 05/14 22:21
67F:→ Azrael: 測試呢 05/14 22:21
68F:推 xiaoyao: 這麼有水準的文章,怎麼敢檢舉呢?科科 05/14 22:22
69F:→ smtp: 等我Avast中毒再換BD,目前用7年沒中過,免費+不吃資源. 05/14 22:23
70F:→ xiaoyao: 推 xiaoyao: 板上很多測試文章,甚至是專業評測機構.... 05/14 22:23
71F:→ xiaoyao: ..有啊,怎麼沒有,要每家點名嗎? 05/14 22:23
72F:推 gwofeng: 當天防毒版是什麼情況 八卦板來的科科怎可能知道呢科科 05/14 22:24
73F:→ xiaoyao: 我的電腦中了BBS病毒了XDDDD 05/14 22:25
74F:→ xiaoyao: 勒索病毒輸慘慘 05/14 22:26
75F:→ smtp: 我挑防毒先考慮免費,其次不吃資源,然後有效,Avast都符合 05/14 22:29
76F:推 pop0311: Avast好用+1,本來也有考慮加裝bitdefend,但要裝一定要 05/14 22:33
77F:→ gwofeng: #19qkqVia 當天本版還放卡卡獸出來惡搞 05/14 22:33
78F:→ pop0311: 移除Avast,而且試用期只有30天,所以還是用avast好了 05/14 22:33
79F:→ gwofeng: 又不是有病整天科科嘻嘻又XDDD 看不懂文章算了還一堆毛 05/14 22:34
80F:推 xiaoyao: 原來是八卦板來的啊XDD Google能力有待加強。 05/14 22:39
81F:推 miamodo: 只是1個樣本. 05/14 22:57
82F:→ gowaa: 我比較希望各版友好好測試跟推薦 而不是那戰來戰去 05/14 23:01
83F:→ gowaa: 雖然基本上 本就沒有絕對安全的系統與防毒 只能勤備分0rz 05/14 23:01
84F:推 purplvampire: 別小看avast,他也是都送測Free版跟BD,KS拚前三的 05/14 23:07
85F:→ purplvampire: 我在公司就是佈署avast business free,它讓我很安心 05/14 23:08
86F:→ smtp: 本來就是備份為王, 只是每次備份間會有數週的空窗期... 05/14 23:09
87F:→ purplvampire: BD企業版也試用過,跟KS一樣能力強大但太吃資源,公司 05/14 23:09
88F:→ smtp: 不重要的我間隔2~3個月, 重要的我用即時雲端同步... 05/14 23:12
89F:→ purplvampire: 的電腦沒一台吃得下中等程度以上的防護,用avast即可 05/14 23:12
90F:→ purplvampire: 防禦工事是整體的概念,沒什麼才是王道,我的電腦沒外 05/14 23:13
91F:→ purplvampire: 接硬碟備份,靠系統更新,內建防毒,區隔系統與資料碟 05/14 23:15
92F:→ purplvampire: 再配上免費FW+防勒索一樣活得好好的,合理配置才重要 05/14 23:16
93F:→ gwofeng: 就算病毒不來,硬碟也有機率老化故障,備份才算留有後路 05/14 23:19
94F:推 purplvampire: 沒錯,是後路,所以我真的該買台NAS來備份才對,哈哈 05/14 23:29
95F:推 boygene: BD 不是也有free 版?跟 avast 比選哪個好? 05/15 00:47
96F:推 jeffin: 這篇文說得清楚啊~~~很認同 05/15 03:12
98F:推 LonyIce: 推 05/15 04:10
99F:推 Scutum: 不錯的觀點 05/15 16:54
100F:推 dupd8017: 推 05/16 01:46