@
ysc3839 #102
我给的第一条视频你可能没太看明白。首先,这个人用的勒索病毒测试样本都是比较老的了,正常杀毒软件早就入病毒库了,用不到启发杀、行为检测之类的方式,不能很好地测试杀毒软件应对零日威胁的能力。
这个人连着做了几次测试,其中第一次是在默认保护状态下直接用脚本执行,虽然看起来的确有更多的勒索病毒能成功运行,但后来包括这个人自己也都推测是测试抽风,且没有勒索病毒成功加密文件的。
之后,这个人关掉了文件系统保护(检查病毒库的)、云(卡巴斯基和很多杀毒软件会在执行文件前通过云获取文件信誉,而不通过启发和行为判断)这两个组件。重新测试后,发现所有勒索病毒仍然没能得逞,其中大部分都被启发杀给干掉了。
最后,因为卡巴效果比想象中更好,这个人又关掉了启发杀( Application Control ),在没有病毒库、云和启发杀的情况下,卡巴斯基仍然通过行为判断干掉了所有的勒索病毒。
在现实中,新病毒爆发几个小时就应该能够被入库。一台能正常联网获取更新的电脑连启发杀和行为判断都用不上。这方面的硬实力除了在应对零日威胁时极其有用外,在断网的工控机、学校、单位等环境下防止新病毒通过内网或者 U 盘传播也非常有效。
在这个人所做的卡巴斯基跟 Bitdefender 的对比视频中,能看到 Bitdefender 也有类似的效果(然而最起码在国内,大多数人从来都没听说过 Bitdefender )。这是真牛逼。Sophos 、ESET 、诺顿效果也不错。尽量回避在外网风评极差的 McAfee,以及流氓软件倾向越来越明显的 avast! 和 AVG 这两家。国内环境回避金山毒霸,最好除了 360 和火绒之外其他的都不要考虑了。
在我 101 楼的三个视频里,其中 Windows Defender 的视频甚至还是带沙盒加持的 Windows Defender,但仍然没能阻止病毒在电脑上执行、破坏。这个人还做了一个“加强版 Windows Defender”的视频,具体来说是通过调整系统设置和组策略,把 WD 能调高的设置都调高,也能勉强达到市面优等杀毒软件的效果,但是资源占用实在吓人。
这也是不推荐火绒的又一个原因:火绒完全没有云,病毒库还小。这除了导致火绒右键扫描效果极差之外,还导致火绒不能有效地应对零日威胁。火绒每天下午更新一次病毒库,病毒库还只有区区几兆十几兆,启发效果也差。相比较之下,市面主要竞品有所谓“流式更新”,即把新病毒库实时推送到电脑上;另外,在运行一些特征比较可疑的程序时,还会先把部分文件上传到云上鉴定,获取该文件的信誉后再运行。这两点火绒都没有,完全没有。
这意味着当运行不在火绒库里的病毒时,必须等到 payload 落地后才有可能触发火绒的 HIPS ;而市面大多数竞品可能早就用更快更新的病毒库(卡巴斯基是大约一日四更)、流式推送、云信誉这三个给拦下来了。然后火绒还非得让你等到每天下午才更新一次。
我个人还是推荐卡巴斯基、Bitdefender 这两家。另外就是,公司政企内部没有统一安排装杀毒软件的,赶紧投资一个吧,别等勒索上门了后悔。