月度關注熱點

再品甕底之好酒︰McAfee VSP 2009
今天跟席克連繫的結果(討論解除msconfig的誤報)
彰中也用McAfee
McAfee把某一個盜帳木馬定義為威金?
什麼!?Mcafee2009繁中版開賣了!
AV-C 8月份測試增加了Artemis偵測率測試!
McAfee今天更新後開始誤報msconfig.exe
PWS-Gamania.gen.a這定義真厲害!
McAfee VirusScan Enterprise 8.7i 評測!
McAfee VSE 8.7i RC (BETA 4) 發布!!

最新更新主題

McAfee ARTEMIS白皮書
Mcafee 2009 有試用版嗎?
McAfee VirusScan Enterprise 8.7i 評測!
McAfee VirusScan Enterprise 8.7i正式版發布
彰中也用McAfee
McAfee欲收购Secure Computing
McAfee產品bug回報進度!有其他bug也可在此提出
AV-C 8月份測試增加了Artemis偵測率測試!
有誰可以幫忙翻譯一下?? (附上bug上報信箱)
什麼?!McAfee 8.7i RC竟然樣本會自動上報?

與McAfee病毒分析師聊天的結論

發表時間: 2008-7-05 07:45    作者: sun88990    來源: AVPClub Security Home

字體: | 打印

這2天,我在即時通上跟一位新加坡Avert Labs工作的病毒分析師對談..
他主要研究的是啟發式技術&漏洞修補.McAfee Sage China篇有他的介紹∼
他打的事英文,我打的是中文,我英打太慢,文法不是很好...
我問他有關一些McAfee產品上的問題歸類出他所說的重點:
1.
我問:為什麼現在上報病毒幾乎都沒有分析師回覆?
答:用上報系統取代了.
2.
他問:你覺得McAfee的啟發式如何?
答:還不錯,可是能比ESET,AVIRA強就更好了
3.
我問:為什麼家用版產品2008,2009都沒有可自定的Access Protection Rules(存取防護)?
答:大部分用戶都不知道怎麼使用他,常常有用戶跟我投訴說"存取保護"不好用,太複雜.
但是我想你還可以寄信去提出你的看法.
4.
我問:您對Kaspersky 7.0/2009產品中的PDM看法?
答:他們都是拷貝McAfee的HIPS, SiteAdvisor, Artemis, ..
5.
我問:啟發式技術的重要性?對殼的看法?
答:保護用戶免於對木馬病毒威脅,McAfee這次在AV-C拿了0誤報,Eset和AVIRA都還是有誤判但拿到few等級.
你應該跟你的朋友說拿到0誤報對於一個大型企業來說是多麼重要的事.大型企業不願花第二次前修理誤報.
很多AV廠商都會加入一些對殼的定義,可是相對的他們可以帶來很多的誤報.
6.
我問:您對其他AV廠商的看法?
答:他們都還是在走傳統的路,但像McAfee企業版早已有了Generic Buffer Overflow Protection(緩衝區溢位保護)
沒有一個AV測試是在測這個的.
7.
我問:您對最新的"雲端技術"的看法?
答:那目前來是一個不是很成熟的技術,等過一陣子在來討論.

[ 本帖最後由 sun88990 於 2008-7-5 07:52 編輯 ]

我也來說兩句 查看全部評論 相關評論

  • 天氣預報 (2008-7-05 09:14:25)

    4.
    我問:您對Kaspersky 7.0/2009產品中的PDM看法?
    答:他們都是拷貝McAfee的HIPS, SiteAdvisor, Artemis, ..

    這也太勁爆了

  • 卡巴斯基 (2008-7-05 09:40:46)

    大大你有無McAfee病毒分析師或其他病毒分析師的Msn,可否比我?

  • 小狄~ (2008-7-05 10:15:03)

    那個分析師還不錯,因為從他的回答來看,他對自家產品是很有信心的~

  • chou (2008-7-05 12:05:06)

    期待新的掃描引擎

  • integear (2008-7-05 12:22:23)

    呵呵,果然勁爆 .

    Mcafee的Artemis也是在搞報殼啊 .

  • 黑衣~魂 (2008-7-05 14:30:20)

    McAfee會報殼,應該沒什麼好驚訝的…很早就看的出來了,目前應該已經沒有不會報殼的廠商了

    這是mcafee的可悲,比起kaspersky,mcafee他們不知道用戶的需要,kaspersky一樣有成千上萬的上報信,但是他們一樣能做到一天內回覆
    1.我問:為什麼現在上報病毒幾乎都沒有分析師回覆?
    答:用上報系統取代了.

    這個有點…
    4.我問:您對Kaspersky 7.0/2009產品中的PDM看法?
    答:他們都是拷貝McAfee的HIPS, SiteAdvisor, Artemis, ..

    [ 本帖最後由 黑衣~魂 於 2008-7-5 14:33 編輯 ]

  • ㄚ一 (2008-7-05 15:10:40)

    我不得不這麼說,第四點跟第六點聽他在胡說八道!

  • 卡巴斯基 (2008-7-05 15:41:57)

    是呀!
    第四點中!其實卡巴的HIPS(PDM)的技術同Mcafee是不同的,而且並無證據表示卡巴的HIPS(PDM)是抄Mcafee的!
    第六點中!卡巴的HIPS(PDM)其實是有緩衝區溢位保護的功能的!

    [ 本帖最後由 卡巴斯基 於 2008-7-5 15:44 編輯 ]

  • Wan (2008-7-05 16:05:29)

    照他那麼說趨勢不就是抄襲別人(其他家也是)

  • andy (2008-7-05 17:10:24)

    新加坡Avert Labs工作的病毒分析師


    新加坡的啊.....

    第4點 可以見得他有多少材料了

  • sun88990 (2008-7-05 17:39:51)

    Artemis技術其實是在報殼
    真的嗎?我現在才知道..不過McAfee以前有對殼的定義嗎?還是很少?
    還有,他說只有重大威脅才會使用人工分析,不然幾乎都不會,除非客戶有要求
    還有第4點,他會這麼講我當時也有點訝異..

    [ 本帖最後由 sun88990 於 2008-7-5 17:42 編輯 ]

  • sun88990 (2008-7-05 17:43:59)

    他的MSN我沒辦法給別人..他有跟我說過
    不過認識他有一個優點,樣本都是優先分析~

  • TamadeKmt (2008-7-05 19:16:58)

    老王賣瓜 !

  • 黑衣~魂 (2008-7-05 23:18:42)

    比較明顯的是New Mlware.??
    通常一類測試下來很多是報殼或啟發式
    另外有一種是啟發式報的是已知定義那又是另一種情況了

    老實說SiteAdvisor是我認為mcafee最失敗的產品之一
    不客氣的說別人會抄襲,別家廠商又不是傻子…

    之前跟mcafee中華策劃協理聊過就知道他們對任何用戶都會誇大自身的產品,只要讓他知道你還有一點認知,下次在跟他們談論後就會比較專業了

  • sun88990 (2008-7-06 10:27:48)

    我最常看到的啟發式定義是New malware.n
    McAfee會不會報殼我不是很清楚...因為有些東西加了一堆殼McAfee還是不會報
    這次在AV-C的測試中,如果McAfee會認殼的話, 應該也不至於0誤報
    目前SiteAdvisor我覺得還好∼最大缺點就是對惡意網站分析太慢..
    新的SiteAdvisor Beta版我覺得進步蠻多的∼
    我應該建議他們去卡飯抓樣本∼

    [ 本帖最後由 sun88990 於 2008-7-6 10:28 編輯 ]

  • haol (2008-7-14 12:15:31)

    該建議的是mcafee產品的優化
    其他競爭廠商再增加偵測率之外
    也在降低對系統的影響
    而mcafee個人版
    開機載入mcafee的服務慢
    手動掃描啟動也慢
    開啟主介面也慢
    我看不出在產品介紹上說的優化多少

    [ 本帖最後由 haol 於 2008-7-14 12:20 編輯 ]

  • haol (2008-7-15 11:49:51)

    樓主這個問題可以幫忙反應給官方嗎?

  • sun88990 (2008-7-16 08:58:00)

    我會幫你反應的.
    新版引擎改善了掃描速度~

    [ 本帖最後由 sun88990 於 2008-7-16 08:59 編輯 ]

  • eric9356 (2008-8-01 20:45:51)

    訪問的內容,真是太勁爆了,
    不過是如果一般用戶,真的是不太會使用存取保護的設定。
    幸好有論壇的各位版大來提供,不然真的不知從何下手呢。
    畢竟不是專業的電腦玩家,呵呵。
查看全部評論我也來說兩句