楼主: 小小瞻
收起左侧

[技术原创] 【新增微点】10大杀软本地主防测试—对抗勒索软件【参测杀软中含无本地主防的杀软】

  [复制链接]
小小瞻
 楼主| 发表于 2017-1-5 03:29:04 | 显示全部楼层
本帖最后由 小小瞻 于 2017-1-5 07:00 编辑

(七)费尔智能杀毒8:被2个样本加密。费尔拥有HIPS模块和主防模块,个人认为“费尔动态防御”弹窗才是主防起作用的体现,其他警报弹窗属于HIPS。

1)样本MRCR1双击运行后,文件被加密,然后费尔弹窗提示,选择修复和清除,删除一个病毒衍生物。防御失败。
1.PNG 2.PNG 3.PNG



2)样本VirLock,费尔入库(还是启发?),故不测试。
44.PNG



3)样本DeriaLock双击运行后,文件被加密,费尔无任何提示,防御失败。
666.PNG



4)样本Virus-Encoder双击运行后,费尔弹窗,选择修复,样本被隔离,防御成功。
777.PNG



5)样本AdamLocker双击运行后,费尔弹窗,选择清除,系统蓝屏需要重启,重启后文件未被加密,样本未被删除。再次双击,选择清除,系统再一次蓝屏需要重启,重启后文件未被加密,样本未被删除。防御成功。
12.PNG



6)样本Slimhem双击运行后,费尔弹窗,选择清除,样本被删除,防御成功。@猪头无双
6666.PNG



7)样本Sage双击运行后,等待了10分钟,仍未见加密,费尔亦未有任何提示。

评分

参与人数 1人气 +1 收起 理由
君陌潇 + 1 很给力!

查看全部评分

zfc234
发表于 2017-1-5 04:46:05 | 显示全部楼层
chenrui19930 发表于 2017-1-4 23:50
或许恰恰相反,出色的本地主防,减少对云的依赖也很重要,这一点BD无出其右

因为现在电脑基本上都要联网,如果本地主防没有防住,多一道云还是蛮有必要的。当然,本地主防能防御成功是最好,说明软件的防御点设置和处理能够适应勒索快速发展的现状,不过现在像F-Secure这样在本地能力基础上增加云端互动的模式,应该是一种大趋势吧
小小瞻
 楼主| 发表于 2017-1-5 04:50:26 | 显示全部楼层
(八)Emsisoft Internet Security:Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示,如果全部选择只允许一次,则用户会被4个样本加密;如果全部选择隔离,则不会被加密。所以,我更愿意将 Emsisoft 这个模块称之为HIPS而不是主防。

1)样本MRCR1双击运行后,Emsisoft 弹窗四次,每次都选择只允许一次,文件部分被加密,防御失败。
1.PNG



2)样本VirLock,Emsisoft 已经入库,故不测试。


3)样本DeriaLock双击运行后,Emsisoft 弹窗2次,每次都选择只允许一次,文件部分被加密,防御失败。
66.PNG 7.PNG 990.PNG



4)样本Virus-Encoder,Emsisoft 已经入库,故不测试。


5)样本AdamLocker双击运行后,Emsisoft 弹窗2次,每次都选择只允许一次,文件被加密,防御失败。 13.PNG 56.PNG 888.PNG


6)样本Slimhem双击运行后,Emsisoft 弹窗4次,每次都选择只允许一次,等待了2分钟仍未见加密。
555.PNG 567.PNG 568.PNG 7888.PNG


7)样本Sage双击运行后,Emsisoft 弹窗 7 次,每次都选择只允许一次,文件被加密,防御失败。



34.PNG 666.PNG 6767.PNG 7788.PNG 6798.PNG 66666.PNG 888.PNG 999.PNG

jiangz1234
发表于 2017-1-5 05:33:15 | 显示全部楼层
本帖最后由 jiangz1234 于 2017-1-5 06:19 编辑
小小瞻 发表于 2017-1-5 04:50
(八)Emsisoft Internet Security:Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示,如果全部选择只 ...


我不赞同你关于EMSISOFT IS的测试,又是一个主防与HIPS分不清的家伙。

你所说的Emsisoft拦截率取决于用户如何处理Emsisoft的弹窗提示,但是若Emsisoft要以主防来测试,就不能选择弹窗报警的方式来测试。

EMSISOFT IS主动防御测试必须在设置选择Always quarantine the program.结果是所有的有可疑行为的样本都会被隔离,而这才是正确的主防测试方法。虽说是一个误报超级高的主防测试,但是你的标题写了是主防测试,所以只能主动防御设置选择Always quarantine the program.而不是选择弹窗,人为判断!而你采用的主防的弹窗报警在测试中人为选择允许放行,这是人为的误判断,所以不能算作主防测试。

另外如你在费尔智能杀毒的采取的人为判断行为是修复或清除,这是因为费尔智能杀毒的弹窗没有放行的选项,只有清除和修复,所以你只能在清除和修复去选择,哪么假定费尔智能杀毒弹窗里也有可以放行的选择,你也点允许,不就达不到防毒的效果了吗?

所以主防测试应是一个病毒在扫描时或实时监控中不能被发现,但是主防却可以自动隔离这个病毒,这才是正常的主防测试行为!而不需要人为的去选择和判断!
引用一大神houtiancheng的观点:
把HIPS设成一有可疑行为就自动拦截隔离的话,不就是主防了吗?
是的,根据我的定义,它是主防了,但是是一个误报超级高的主防。
所以,主防的关键难度在于如何平衡误报和拦截率。

结论:
EMSISOFT IS新手使用时如果怕选择出错,可以设置为有可疑行为就自动拦截隔离,这才是主防测试应有的功能。
缺点可能误报拦截造成正常无毒的程序无法正常运行,老司机当然自己选择。

可以参考我和houtiancheng讨论见贴http://bbs.kafan.cn/thread-2071191-5-1.html 44楼开始。
1.png

小小瞻
 楼主| 发表于 2017-1-5 05:57:06 | 显示全部楼层
本帖最后由 小小瞻 于 2017-1-5 07:24 编辑

(九)ESET Smart Security:被3个样本加密。      
ESET作为一款启发优秀、没有主防的杀软,面对恶意软件,靠特征码、启发和云来抵御,这显然是不够的。另外,ESET的HIPS在默认设置下亦形同虚设。


1)样本MRCR1双击运行后,文件被加密,ESET未有任何提示,防御失败。
1.PNG



2)样本VirLock,ESET已经入库,故不测试。


3)样本DeriaLock双击运行后,ESET未有任何提示,文件被加密,防御失败。
66.PNG



4)样本Virus-Encoder,ESET 已经入库,故不测试。


5)样本AdamLocker双击运行后,文件被加密,ESET未有任何提示,防御失败。
888.PNG



6)样本Slimhem,ESET已经入库,故不测试。


7)样本Sage,ESET已经入库,故不测试。



欧阳宣
发表于 2017-1-5 07:27:18 来自手机 | 显示全部楼层
有本事联网双击啊。。。
小小瞻
 楼主| 发表于 2017-1-5 07:38:37 来自手机 | 显示全部楼层
本帖最后由 小小瞻 于 2017-1-5 11:22 编辑
jiangz1234  2017-1-5 05:33
EMSISOFT ISHIPS

Emsisoft ...

我原本不想理睬你,可当我看见你用家伙来称呼别人的时候,就更加不想理你了。
coolcfan
发表于 2017-1-5 09:34:55 | 显示全部楼层
事实上很多杀软厂商压根也不关注第一个受害者吧,因为没法子关注。

a1121611810
发表于 2017-1-5 09:55:44 | 显示全部楼层
费尔的那个蓝屏,我看了几次不知为啥好像笑,弄得感觉费尔那个样本的拦截,靠的是蓝屏一样

第二个报的基因,应该是入库的,费尔是启发的话,那里写的就是启发,不会写基因的
pal家族
发表于 2017-1-5 09:57:00 | 显示全部楼层
小小瞻 发表于 2017-1-5 07:38
我原本不想理睬你,可当我看见你用家伙来称呼别人的时候,就更加不想鸟你了。


如此回复,与他人何异?
既已是督查,自有更稳妥的回复方式。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-8-19 04:12 , Processed in 0.100050 second(s), 9 queries , MemCache On.

快速回复 返回顶部 返回列表