【第三弹】9款杀软启发及主防测试（BDF86.25%领先）

vm001

提一点360的问题，360的行为防御第一需要云查询文件状态，断网查不到360为了避免误报有些行为是放过（因为不可能无限的挂起进程）第二，360的行为防御有些需要和下载保护联动。没通过下载保护有些会被视为本地产生的文件，并没有在网上流传（因为断网查不到状态）这也是360对抗免杀作者的一种手段----比如你用一些远控（如大灰狼）在本地生成客户端，扫描他是不报毒的，但是你一传出去，到了另一端就会被报毒拦截。。

MENGXIUYUAN

浩大的工作量啊，楼主辛苦了

裂空我爱杰

楼主辛苦了

houtiancheng

vm001 发表于 2017-1-22 19:36
提一点360的问题，360的行为防御第一需要云查询文件状态，断网查不到360为了避免误报有些行为是放过（因为 ...

360有本地主防组件吗？
我之前的测试里一次都没弹窗……

vm001

houtiancheng 发表于 2017-1-22 19:57
360有本地主防组件吗？
我之前的测试里一次都没弹窗……

有啊，组建都在本地，只是规则大部分在云端。弹窗拦截的只是云查询状态是黑的和灰的。。查不到状态就是未知的，未知程序在没云的状态下拦截，那估计得把人弹死，所以一般这类会选择放过。
一般云主防都是这个逻辑

猪头无双

只想说，带IDP的avast测试版出来了·······

wangkaka

pal家族 发表于 2017-1-22 19:20
卡巴主防，如果是断网检测率，绝对是很low的。我一直这么认为。
也可以遇见某些产品在本测试中检测率可能 ...

不太认同你的观点哦。
大概半年多前吧，我测试了一段时间卡巴主防，用的2015的光盘版本，虚拟机断网，没有升级。对样本还是有不错防御的，即使2015勒索还没有流行，卡巴没有针对调整主防规则，都能用主防拦截部分勒索威胁。不过国内特色qq粘虫，流氓这些没有太大动作的基本没用。还有就是精锐包50个中基本主防只能报4-7个左右23333，但样本区真正行为明确的威胁报的还是不错的。
至少我这样认为。

houtiancheng

猪头无双 发表于 2017-1-22 20:15
只想说，带IDP的avast测试版出来了·······

明明引擎也是大A好……

猪头无双

houtiancheng 发表于 2017-1-22 20:22
明明引擎也是大A好……

然而还是合并了··· ···

houtiancheng

vm001 发表于 2017-1-22 20:05
有啊，组建都在本地，只是规则大部分在云端。弹窗拦截的只是云查询状态是黑的和灰的。。查不到状态就是 ...

组件(文件)当然在本地……
我是说本地主防规则和判断能力，按照你的说法其实还是没有吧？